View a markdown version of this page

Funktionsoptionen aktivieren - AWS Control Tower
AWS CloudTrail DatenereignisseAWS Support-Plan für UnternehmenLöschen Sie die AWS Standard-VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsoptionen aktivieren

AFT bietet Funktionsoptionen, die auf bewährten Verfahren basieren. Sie können sich während der AFT-Bereitstellung mithilfe von Feature-Flags für diese Funktionen entscheiden. Stellen Sie ein neues Konto bei AFT bereitWeitere Informationen zu den AFT-Eingangskonfigurationsparametern finden Sie unter.

Diese Funktionen sind standardmäßig nicht aktiviert. Sie müssen jede Funktion in Ihrer Umgebung explizit aktivieren.

AWS CloudTrail Datenereignisse

Wenn diese Option aktiviert ist, konfiguriert die Option für AWS CloudTrail Datenereignisse diese Funktionen.

  • Erstellt einen Organization Trail im AWS Control Tower Tower-Managementkonto, für CloudTrail

  • Aktiviert die Protokollierung für Amazon S3- und Lambda-Datenereignisse

  • Verschlüsselt und exportiert alle CloudTrail Datenereignisse mit AWS KMS Verschlüsselung in einen aws-aft-logs-* S3-Bucket im AWS Control Tower Log Archive-Konto

  • Aktiviert die Einstellung zur Überprüfung der Protokolldatei

Um diese Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf True.

aft_feature_cloudtrail_data_events

Voraussetzung

Bevor Sie diese Funktionsoption aktivieren, stellen Sie sicher, dass der vertrauenswürdige Zugriff für in Ihrer Organisation aktiviert AWS CloudTrail ist.

So überprüfen Sie den Status des vertrauenswürdigen Zugriffs für CloudTrail :

  1. Navigieren Sie zur AWS Organizations Konsole.

  2. Wählen Sie Dienste > CloudTrail.

  3. Wählen Sie dann bei Bedarf oben rechts die Option Vertrauenswürdigen Zugriff aktivieren aus.

Möglicherweise erhalten Sie eine Warnmeldung, in der Sie aufgefordert werden, die AWS CloudTrail Konsole zu verwenden. In diesem Fall sollten Sie die Warnung jedoch ignorieren. AFT erstellt den Trail im Rahmen der Aktivierung dieser Funktionsoption, nachdem Sie den vertrauenswürdigen Zugriff zugelassen haben. Wenn der vertrauenswürdige Zugriff nicht aktiviert ist, erhalten Sie eine Fehlermeldung, wenn AFT versucht, Ihren Trail für Datenereignisse zu erstellen.

Anmerkung

Diese Einstellung funktioniert auf Organisationsebene. Die Aktivierung dieser Einstellung wirkt sich auf alle Konten in aus AWS Organizations, unabhängig davon, ob sie von AFT verwaltet werden oder nicht. Alle Buckets im AWS Control Tower Log Archive-Konto zum Zeitpunkt der Aktivierung sind von Amazon S3 S3-Datenereignissen ausgeschlossen. Weitere Informationen zu finden Sie im AWS CloudTrail Benutzerhandbuch. CloudTrail

AWS Support-Plan für Unternehmen

Wenn diese Option aktiviert ist, aktiviert die AFT-Pipeline den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten.

AWS Bei Konten ist standardmäßig der AWS Basic Support-Plan aktiviert. AFT bietet für Konten, die von AFT bereitgestellt werden, eine automatische Registrierung für die Enterprise-Support-Stufe. Der Bereitstellungsprozess öffnet ein Support-Ticket für das Konto und fordert auf, es zum AWS Enterprise Support-Plan hinzuzufügen.

Um die Enterprise Support-Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf True.

aft_feature_enterprise_support=false

Weitere Informationen zu AWS Supportplänen finden Sie unter AWS Supportpläne vergleichen.

Anmerkung

Damit diese Funktion funktionieren kann, müssen Sie das Zahlerkonto für den Enterprise Support-Plan registrieren.

Löschen Sie die AWS Standard-VPC

Wenn Sie diese Option aktivieren, löscht AFT alle AWS Standard-VPCs im AFT-Verwaltungskonto und insgesamt AWS-Regionen, auch wenn dort keine AWS Control Tower Tower-Ressourcen bereitgestellt wurden. AWS-Regionen

AFT löscht AWS Standard-VPCs nicht automatisch für AWS Control Tower-Konten, die AFT bereitstellt, oder für bestehende AWS Konten, die Sie über AFT bei AWS Control Tower registrieren.

Neue AWS Konten werden standardmäßig mit jeweils AWS-Region einer VPC erstellt. In Ihrem Unternehmen gibt es möglicherweise Standardverfahren für die Erstellung von VPCs, bei denen Sie die AWS Standard-VPC löschen und vermeiden müssen, sie zu aktivieren, insbesondere für das AFT-Verwaltungskonto.

Um diese Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf True.

aft_feature_delete_default_vpcs_enabled

Im Folgenden finden Sie ein Beispiel für eine Eingabekonfiguration für die AFT-Bereitstellung.

module "aft" {
  source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
  ct_management_account_id    = var.ct_management_account_id
  log_archive_account_id      = var.log_archive_account_id
  audit_account_id            = var.audit_account_id
  aft_management_account_id   = var.aft_management_account_id
  ct_home_region              = var.ct_home_region
  tf_backend_secondary_region = var.tf_backend_secondary_region

  vcs_provider                                  = "github"
  account_request_repo_name                     = "${var.github_username}/learn-terraform-aft-account-request"
  account_provisioning_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-provisioning-customizations"
  global_customizations_repo_name               = "${var.github_username}/learn-terraform-aft-global-customizations"
  account_customizations_repo_name              = "${var.github_username}/learn-terraform-aft-account-customizations"

  # Optional Feature Flags
  aft_feature_delete_default_vpcs_enabled = true
  aft_feature_cloudtrail_data_events      = false
  aft_feature_enterprise_support          = false
}

Weitere Informationen zu Standard-VPCs finden Sie unter Standard-VPC und Standard-Subnetze.

Anmerkung

Die standardmäßige VPC-Löschung erfolgt nach bestem Bemühen. AWS-Region Wenn der Endpunkt einer Region vorübergehend nicht erreichbar ist, überspringt AFT diese Region und setzt das Löschen von Standard-VPCs in den verbleibenden Regionen fort. Übersprungene Regionen werden beim nächsten Lauf der Anpassungspipeline erneut versucht. Um zu überprüfen, ob Regionen übersprungen wurden, durchsuchen Sie die aft-delete-default-vpc Lambda-Funktionsprotokolle nach der Nachricht. Skipping default VPC deletion in region