View a markdown version of this page

Die wichtigsten Änderungen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die wichtigsten Änderungen

Anmerkung

  • Die Definitionen von „registriert“ und „registriert“ haben sich mit dieser neuen Version von AWS Control Tower geändert. Wenn auf Ihrem account/OU System eine AWS Control Tower Tower-Ressource aktiviert ist (z. B. Control oder Baseline), wird diese als verwaltete Ressource betrachtet. Die Definition wird nicht mehr vom Vorhandensein der AWSControlTowerBaseline Baseline abhängen.

  • Service-Linked Rollen bleiben in allen landing zone Zone-Versionen erhalten und werden nicht mehr gelöscht, wenn die Registrierung von Organisationseinheiten aufgehoben wird

  • Service-Linked Rollen können von Kunden nach der Außerbetriebnahme der landing zone nur manuell gelöscht werden

Aktualisierung von Version 3.3 oder früher auf Version 4.0

Deaktivieren Sie die Dienstintegrationen (AWS Config, SecurityRoles) nicht als Teil des Versionsupgrades. In landing zone Zone-Versionen 3.3 und früher SecurityRoles waren sie immer implizit aktiviert. AWS Config Version 4.0 stellt diese Integrationen zum ersten Mal als konfigurierbare Optionen zur Verfügung. Nach dem erfolgreichen Upgrade auf Version 4.0 können Sie die Serviceintegrationen nach Bedarf deaktivieren.

  • Pre-requisite für Landing Zone 4.0: Stellen Sie beim Upgrade auf Version 4.0 über die API sicher, dass die AWSControlTowerCloudTrailRole Servicerolle die neue verwaltete Richtlinie AWSControlTowerCloudTrailRolePolicy anstelle der vorhandenen Inline-Richtlinie verwendet. Trennen Sie die aktuelle Inline-Richtlinie und hängen Sie die neue verwaltete Richtlinie an, wie in der Dokumentation beschrieben.

  • Optionales Manifest: Das Manifestfeld in der Landingzone-API ist jetzt optional. Kunden können Landing Zones ohne Serviceintegrationen erstellen. Für Bestandskunden, die das Manifestfeld bereits verwenden, hat dies keine Auswirkungen.

  • Optionale Organisationsstruktur: AWS Control Tower erzwingt oder verwaltet die Erstellung der Sicherheits-OU nicht mehr, sodass Kunden ihre eigene Organisationsstruktur definieren und verwalten können. AWS Control Tower verlangt jedoch, dass alle Konten, die für jede AWS-Serviceintegration konfiguriert sind, derselben übergeordneten Organisationseinheit angehören. Für Kunden, die den AWS Control Tower bereits eingerichtet haben und über die Security OU verfügen, hat dies keine Auswirkungen. AWS Control Tower stellt automatisch die Ressourcen und Kontrollen bereit, die für die Verwaltung der Service-Integrationskonten in der Security OU erforderlich sind. Wenn beispielsweise die AWS Config-Integration aktiviert ist, ist die AWS Config-Aufzeichnung in allen Serviceintegrationskonten aktiviert. Die AWS Control Tower Baseline und die AWS Config Baseline gelten nicht für die Security OU und Integrationskonten. Um die Serviceintegrationen zu ändern, aktualisieren Sie die landing zone Zone-Einstellungen.

    Anmerkung

    • Die Einrichtung der Organisationsstruktur für die AWS Control Tower landing zone 4.0 hat sich gegenüber früheren landing zone Zone-Versionen geändert. AWS Control Tower erstellt die angegebene Sicherheits-OU nicht mehr. Die Organisationseinheit mit den Serviceintegrationskonten wird die designierte Sicherheits-OU sein.

    • Wenn Mitgliedskonten in die Organisationseinheit verschoben werden, in der sich die Konten für jede Integration befinden, werden die aktivierten Steuerelemente für diese Organisationseinheit unabhängig davon, ob die automatische Registrierung aktiviert oder deaktiviert ist, verschoben.

    Basisstatus für die Sicherheits-OU: Die AWS Control Tower Baseline und die AWS Config Baseline können nicht auf die Sicherheits-OU angewendet werden. Die Sicherheits-OU zeigt für diese Baselines den Basisstatus „Nicht zutreffend“ an. Dieser Status wird erwartet. Der BackupBaseline kann auf die Sicherheits-OU angewendet werden.

    AWS Control Tower verwaltet Service-Integrationskonten über die landing zone, nicht über OU-level Baselines. Wenn ein Service-Integration-Konto den Basisstatus „Nicht aktiviert“ anzeigt und die zugehörige Service-Integration deaktiviert ist, verwaltet AWS Control Tower dieses Konto nicht mehr.

    Konten in der Sicherheits-OU, die nicht als Serviceintegrationskonten ausgewiesen sind, erhalten keine Basisressourcen. Um diese Konten zu verwalten, verschieben Sie sie in eine verwaltete Organisationseinheit und erweitern Sie die Verwaltung.

    IAM Identity Center-Berechtigungssätze für Serviceintegrationskonten: AWS Control Tower stellt IAM Identity Center-Berechtigungssätze für das Logging-Konto und das SecurityRoles Konto bereit. AWS Control Tower stellt keine Berechtigungssätze für das Config-Konto oder das Backup-Konto bereit. Um über IAM Identity Center auf das Config- oder Backup-Konto zuzugreifen, erstellen Sie Berechtigungssätze manuell mithilfe der IAM Identity Center-Ressourcen, die AWS Control Tower bereitgestellt hat.

  • Drift-Benachrichtigungen: AWS Control Tower beendet das Senden von Drift-Benachrichtigungen an das SNS-Thema für alle Kunden in der landing zone 4.0, wenn die AWSControlTowerBaseline Option nicht aktiviert ist, und sendet stattdessen Drift-Benachrichtigungen EventBridge an das Verwaltungskonto. Beispiele für Ereignisse und Anleitungen zum Empfangen von Drift-Benachrichtigungen finden EventBridge Sie in diesem Leitfaden.

  • Optionale Serviceintegrationen: Sie haben jetzt die Möglichkeit, enable/disable alle AWS Control Tower Tower-Integrationen zu nutzen AWS Config, einschließlich AWS CloudTrail SecurityRoles, und. AWS Backup Diese Integrationen verfügen jetzt auch über optional erforderliche enabled Flags in der API. Die Baselines, die möglicherweise für Ihre landing zone oder Ihre gemeinsamen Konten gelten, hängen jetzt voneinander ab. Die spezifischen Abhängigkeiten der Integrationen sind:

    • Aktivierung:

      • CentralSecurityRolesBaseline→ muss aktiviert CentralConfigBaseline sein

      • IdentityCenterBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • BackupAdminBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • LogArchiveBaseline→ unabhängig (keine Abhängigkeiten)

      • CentralConfigBaseline→ unabhängig (keine Abhängigkeiten)

    • Behinderung:

      • CentralConfigBaselinekann nur deaktiviert werdenCentralSecurityRolesBaseline, wennIdentityCenterBaseline, BackupAdminBaseline und BackupCentralVaultBaseline Baselines zuerst deaktiviert wurden.

      • CentralSecurityRolesBaselinekann nur deaktiviert werdenIdentityCenterBaseline, wenn BackupAdminBaseline und BackupCentralVaultBaseline Baselines zuerst deaktiviert werden.

      • IdentityCenterBaselinekann unabhängig deaktiviert werden.

      • BackupAdminBaselineund BackupCentralVaultBaseline Baselines können unabhängig voneinander deaktiviert werden

      • LogArchiveBaselinekönnen unabhängig deaktiviert werden

    Umfang von AWS Config Aktivierung der Serviceintegration

    Durch die Aktivierung der AWS Config Serviceintegration auf Landingzone-Ebene werden Config-Aufzeichnungsressourcen nur für Serviceintegrationskonten bereitgestellt. Um AWS Config Ressourcen (Config Recorder, Delivery Channel) für Mitgliedskonten bereitzustellen, aktivieren Sie die AWS Config Baseline für jede verwaltete Organisationseinheit einzeln.

    Die Aktivierung der Config-Integration auf Landingzone-Ebene ist eine Voraussetzung für die Aktivierung der Config-Baseline auf OUs. Die Einstellung auf Landezonenebene allein stellt keine Config-Ressourcen für Mitgliedskonten bereit.

    Weitere Informationen finden Sie unter Aktualisierungen der AWS Config.

    CentralizedLogging Verhaltensänderung in Version 4.0

    In landing zone Zone-Versionen 3.3 und früher wurde durch die CentralizedLogging Deaktivierung die Organisation CloudTrail ausgeschaltet und alle bereitgestellten Ressourcen wurden beibehalten. In Version 4.0 werden durch die CentralizedLogging Deaktivierung alle zugehörigen Ressourcen aus dem Protokollierungskonto gelöscht. Zu diesen Ressourcen gehören Config Recorder, Delivery Channel und CloudTrail-related Stack-Instances. Nach der Deaktivierung verwaltet AWS Control Tower das Logging-Konto nicht mehr.

    Um die Verwaltung des Protokollierungskontos wiederherzustellen, aktivieren Sie das Konto erneut CentralizedLogging oder verschieben Sie es in eine verwaltete Organisationseinheit und erweitern Sie die Verwaltung.