本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
登陸區域更新的最佳實務
當您考慮在 AWS Control Tower 中升級登陸區域版本時,本節提供一些注意事項和最佳實務。從 2.0 登陸區域版本系列變更為 3.0 登陸區域版本系列尤其重要。升級登陸區域時,AWS Control Tower 會自動將您移至最新的可用版本。
注意
最佳實務是更新至最新版本的登陸區域。
本節中說明的最佳實務摘要
-
最佳實務:基於安全和稽核原因,強烈建議您啟用跨電路板、所有帳戶的日誌記錄,並將日誌記錄資訊傳送至集中位置。在 AWS Control Tower 中,此集中位置是日誌封存帳戶,可提供 Amazon S3 記錄儲存貯體。
-
最佳實務:如果您選擇在 AWS Control Tower 中退出組織層級 CloudTrail 追蹤,請設定和管理您自己的追蹤。
-
最佳實務:操作 AWS Control Tower 環境時,請設定測試環境。
從 2.x 登陸區域版本移至 3.x 登陸區域版本的優勢
-
僅在主區域中記錄 AWS Config 資源,這會在您管理全域資源時節省成本
-
使用您自己的 KMS 金鑰加密您的 AWS CloudTrail 追蹤
-
自訂您的日誌保留時間範圍
-
增強型強制性控制
-
可用的控制項數量增加
-
與 整合 AWS Security Hub
-
Python 執行期更新
從 2.x 登陸區域版本移至 3.x 登陸區域的注意事項
-
使用登陸區域 3.0 及更新版本,AWS Control Tower 不再支援 AWS 管理的帳戶層級 AWS CloudTrail 追蹤。
-
您可以選擇 AWS Control Tower 管理的組織層級追蹤,或選擇退出該追蹤並管理您自己的 CloudTrail 追蹤。
-
某些潛在的成本存在,特別是如果 OU 中的某些帳戶未註冊 AWS Control Tower,並且有自己想要保留的帳戶層級追蹤。
選擇組織層級 CloudTrail 追蹤的考量
-
當您升級至 3.0 或更新版本時,AWS Control Tower 會在 24 小時後刪除其最初建立的帳戶層級追蹤。【例外狀況】
-
不會遺失來自這些線索的資料。即使移除線索,您現有的日誌也會保留。
-
AWS Control Tower 會在相同的 Amazon S3 儲存貯體中為追蹤建立新的路徑,以區分帳戶層級追蹤與組織層級追蹤。
-
帳戶線索日誌路徑為以下格式:
/orgId/AWSLogs/... -
組織線索日誌路徑是以下形式:
/orgId/AWSLogs/orgId/...
-
-
您已部署的其他 CloudTrail 追蹤,AWS Control Tower 未部署的追蹤不會碰觸到。
-
如果未註冊的帳戶是已註冊 OU 的一部分,則所有帳戶都會包含在組織層級追蹤中,包括未在 AWS Control Tower 中註冊的帳戶。
-
連結帳戶中的 Amazon CloudWatch 警示不會觸發。
-
如果您選擇退出組織層級追蹤,AWS Control Tower 仍會建立追蹤,但將其狀態設定為關閉。
-
最佳實務是,如果您選擇退出 AWS Control Tower 中的組織層級追蹤,您應該設定和管理自己的 CloudTrail 追蹤,
組織層級追蹤的優點
-
組織追蹤可在 OU 中的所有帳戶間運作。
-
記錄的項目是標準化的,帳戶使用者無法修改。
考慮測試環境
升級登陸區域時,AWS Control Tower 只會對共用帳戶和基礎 OU 進行變更。它不會對工作負載帳戶或 OUs 進行變更。不過,根據最佳實務,在操作 AWS Control Tower 環境時,建議您設定測試環境。在隔離的測試環境中,您可以測試 AWS Control Tower 登陸區域升級,以及您對服務控制政策 (SCPs) 所做的任何變更,也可以測試您想要套用至環境的控制。如果您在受監管的產業中操作,此建議特別有用。
更新時常見錯誤的檢查清單
以下是您可以執行的簡短任務清單,以避免將 AWS Control Tower 登陸區域從 2.x 版本更新為 3.x 版本時發生常見錯誤。
基本更新檢查清單
檢查您的登陸區域:
– 前往 AWS Control Tower 服務,檢閱組織單位和帳戶頁面,然後確認您的帳戶狀態設定為已註冊和已註冊。
– 如適用,請確認並確認自訂管道的上次執行成功。
– 檢查 Audit 帳戶中的 Amazon S3 集中式日誌儲存貯體,因為先前對儲存貯體政策所做的任何變更都會遭到覆寫。
驗證 AWS Control Tower 未擁有的任何 SCPs 不會限制
AWSControlTowerExecution角色在成員帳戶中執行動作,或管理帳戶中執行執行更新之管理角色的動作。
