View a markdown version of this page

Cambios clave - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambios clave

nota

  • La definición de «registrado» e «inscrito» ha cambiado con esta nueva versión de AWS Control Tower. Cuando account/OU tenga habilitado algún recurso de la Torre de Control de AWS (por ejemplo, control o línea base), se considerará un recurso gobernado. La definición ya no estará determinada por la presencia de la AWSControlTowerBaseline línea base.

  • Service-Linked Los roles se conservan en todas las versiones de landing zone y ya no se eliminan cuando las unidades organizativas dejan de estar registradas.

  • Service-Linked Los clientes solo pueden eliminar los roles manualmente después del desmantelamiento de la zona de landing zone

Actualización de la versión 3.3 o anterior a la versión 4.0

No deshabilite las integraciones de servicios (AWS Config, SecurityRoles) como parte de la actualización de la versión. En las versiones 3.3 y anteriores de landing zone, AWS Config y siempre SecurityRoles estuvieron habilitadas de forma implícita. La versión 4.0 presenta estas integraciones como opciones configurables por primera vez. Tras actualizar correctamente a la versión 4.0, puede deshabilitar las integraciones de servicios si lo desea.

  • Pre-requisite para Landing Zone 4.0: al actualizar a la versión 4.0 mediante la API, asegúrese de que el rol de AWSControlTowerCloudTrailRole servicio utilice la nueva política administrada AWSControlTowerCloudTrailRolePolicy en lugar de la política en línea existente. Separe la política en línea actual y adjunte la nueva política gestionada tal y como se describe en la documentación.

  • Manifiesto opcional: el campo de manifiesto de la API de landing zone ahora es opcional. Los clientes pueden crear zonas de aterrizaje sin ninguna integración de servicios. Esto no afecta a los clientes actuales que ya utilizan el campo de manifiesto.

  • Estructura organizativa opcional: AWS Control Tower ya no aplica ni administra la creación de unidades organizativas de seguridad para que los clientes puedan definir y administrar su propia estructura organizativa. Sin embargo, AWS Control Tower requerirá que todas las cuentas configuradas para cada integración de servicios de AWS estén en la misma OU principal. Esto no afectará a los clientes que ya hayan configurado la Torre de Control de AWS y dispongan de la unidad organizativa de seguridad. AWS Control Tower implementa automáticamente los recursos y controles necesarios para administrar las cuentas de integración de servicios en la OU de seguridad. Por ejemplo, cuando la integración de AWS Config está habilitada, la grabación de AWS Config está habilitada en todas las cuentas de integración de servicios. AWS Control Tower Baseline y AWS Config Baseline no se aplican a la unidad organizativa de seguridad ni a las cuentas de integración. Para cambiar las integraciones de servicios, actualiza la configuración de landing zone.

    nota

    • La configuración de la estructura organizativa de la zona de aterrizaje 4.0 de AWS Control Tower ha cambiado con respecto a las versiones anteriores de landing zone. AWS Control Tower ya no creará la unidad organizativa de seguridad designada. La OU con las cuentas de integración de servicios será la OU de seguridad designada.

    • Si las cuentas de los miembros se trasladan a la OU donde residen las cuentas de cada integración, los controles habilitados en esa OU se desplazan independientemente de si la inscripción automática está activada o desactivada.

    Estado base de la unidad organizativa de seguridad: la línea base y la AWS Config línea base de AWS Control Tower no se pueden aplicar a la unidad organizativa de seguridad. La OU de seguridad muestra un estado base de «No aplicable» para estas líneas base. Se espera este estado. Se BackupBaseline puede aplicar a la unidad organizativa de seguridad.

    AWS Control Tower administra las cuentas de integración de servicios a través de la landing zone, no a través de OU-level líneas base. Si una cuenta de integración de servicios muestra un estado básico de «No habilitada» y la integración de servicios asociada está deshabilitada, AWS Control Tower ya no administra esa cuenta.

    Las cuentas de la OU de seguridad que no estén designadas como cuentas de integración de servicios no reciben los recursos básicos. Para controlar estas cuentas, muévalas a una unidad organizativa administrada y amplíe la gobernanza.

    Conjuntos de permisos del IAM Identity Center para las cuentas de integración de servicios: AWS Control Tower proporciona conjuntos de permisos del IAM Identity Center para la cuenta de registro y la SecurityRoles cuenta. AWS Control Tower no aprovisiona conjuntos de permisos para la cuenta Config ni para la cuenta Backup. Para acceder a la cuenta Config o Backup a través del Centro de Identidad de IAM, cree conjuntos de permisos manualmente con los recursos del Centro de Identidad de IAM que implementó AWS Control Tower.

  • Notificaciones de derrapes: AWS Control Tower dejará de enviar notificaciones de derrapes a SNS topic a todos los clientes de landing zone 4.0 que no AWSControlTowerBaseline estén habilitadas y, EventBridge en su lugar, empezará a enviar notificaciones de derrapes a la cuenta de administración. Para ver ejemplos de eventos y obtener orientación sobre cómo recibir notificaciones de derrape a través de EventBridge ellos, consulte esta guía.

  • Integraciones de servicios opcionales: ahora puede utilizar enable/disable todas las integraciones de AWS Control Tower CloudTrail SecurityRoles, incluidas AWS Config AWS y. AWS Backup Estas integraciones ahora también tienen enabled indicadores opcionales en la API. Las líneas base que pueden aplicarse a tu landing zone o a tus cuentas compartidas ahora dependen unas de otras. Las dependencias específicas de las integraciones son:

    • Habilitación:

      • CentralSecurityRolesBaseline→ debe CentralConfigBaseline estar activado

      • IdentityCenterBaseline→ debe CentralSecurityRolesBaseline estar activado

      • BackupCentralVaultBaseline→ debe CentralSecurityRolesBaseline estar activado

      • BackupAdminBaseline→ debe CentralSecurityRolesBaseline estar activado

      • LogArchiveBaseline→ independiente (sin dependencias)

      • CentralConfigBaseline→ independiente (sin dependencias)

    • Inhabilitación:

      • CentralConfigBaselinesolo se puede deshabilitar si CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline y las BackupCentralVaultBaseline líneas base se deshabilitan primero.

      • CentralSecurityRolesBaselinesolo se puede deshabilitar siIdentityCenterBaseline, BackupAdminBaseline y las BackupCentralVaultBaseline líneas base se deshabilitan primero.

      • IdentityCenterBaselinese puede desactivar de forma independiente.

      • BackupAdminBaseliney las BackupCentralVaultBaseline líneas base se pueden desactivar de forma independiente

      • LogArchiveBaselinese puede desactivar de forma independiente

    Alcance de AWS Config habilitación de la integración de servicios

    Al habilitar la integración AWS Config de servicios a nivel de landing zone, se despliegan los recursos de registro de Config únicamente en las cuentas de integración de servicios. Para implementar AWS Config recursos (Config Recorder, Delivery Channel) en las cuentas de los miembros, habilite la AWS Config línea base en cada OU administrada de forma individual.

    Habilitar la integración de Config en el nivel de la zona de aterrizaje es un requisito previo para habilitar la línea base de Config en las unidades organizativas. La configuración a nivel de zona de destino por sí sola no despliega los recursos de Config en las cuentas de los miembros.

    Para obtener más información, consulte Actualizaciones de AWS Config.

    CentralizedLogging cambio de comportamiento en la versión 4.0

    En las versiones 3.3 y anteriores de landing zone, la desactivación CentralizedLogging activaba la Organización CloudTrail y conservaba todos los recursos desplegados. En la versión 4.0, la desactivación CentralizedLogging elimina todos los recursos asociados de la cuenta de registro. Estos recursos incluyen las instancias Config Recorder, Delivery Channel y CloudTrail-related stack. Tras la desactivación, AWS Control Tower ya no administra la cuenta de registro.

    Para restablecer la administración de la cuenta de registro, vuelva a habilitarla CentralizedLogging o muévala a una unidad organizativa administrada y amplíe la gobernanza.