View a markdown version of this page

Mises à jour d'AWS Config - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mises à jour d'AWS Config

  • Ressources dédiées pour AWS Config et AWS CloudTrail : AWS utilise CloudTrail désormais des compartiments S3 AWS Config et des rubriques SNS dédiés distincts au lieu de ressources partagées. Les clients ne disposent que d'une flexibilité limitée quant à l'utilisation d'un seul compte ou de comptes distincts pour de multiples intégrations.

    • Lors de la mise à niveau vers la version 4.0 d'AWS Control Tower landing zone, les données existantes et les compartiments S3 ne sont pas déplacés. CloudTrail L'intégration AWS continue d'utiliser le compartiment S3 existant avec le préfixeaws-controltower-logs. Les nouvelles données AWS Config après l'opération de mise à jour seront stockées dans un nouveau compartiment S3 avec un préfixe aws-controltower-config créé par AWS Control Tower dans le compte désigné pour le CentralConfigBaseline.

      Note

      L'activation de CloudTrail l'intégration AWS sur la zone de landing zone 4.0 pour la première fois créera à chaque fois de nouveaux compartiments S3 avec un préfixe aws-controltower-cloudtrail

    • Changements relatifs à l'emplacement des données : les clients existants passant de ressources précédemment partagées à des ressources dédiées AWS Config disposeront de CloudTrail données AWS dans différents compartiments S3. Les flux de travail et les outils existants des clients peuvent nécessiter des mises à jour pour accéder aux données à partir de nouveaux emplacements de compartiments.

    • AWS CloudTrail restera dans le même compartiment existant, mais les AWS Config données figureront dans un nouveau compartiment S3 créé par AWS Control Tower.

    • Les clients peuvent configurer la réplication entre compartiments s'ils souhaitent centraliser différents journaux dans un seul compartiment. Consultez la documentation S3 pour plus d'informations.

    • Si vous avez inscrit des comptes avec des canaux de distribution AWS Config préexistants qui n'ont pas été créés par AWS Control Tower dans les régions régies par AWS Control Tower, remplacez le nom du bucket S3 des Delivery Channels par le nouveau bucket S3 avec le préfixe dans le compte d'intégration aws-controltower-config-logs- AWS Config afin d'être cohérent avec les configurations d'AWS Control Tower sur la landing zone 4.0. Pour plus d'informations, consultez Inscrire des comptes disposant de ressources existantes AWS Config.

  • AWS Config intégration sur la zone d'atterrissage version 4.0 : lors de la migration vers la zone d'atterrissage 4.0 avec AWS Config l'intégration activée, les clients constateraient les modifications suivantes :

    1. Le compte d'audit existant est enregistré en tant qu'administrateur délégué pour AWS Config.

    2. Service-Linked Config Aggregator est déployé dans le compte d'audit (compte agrégateur AWS Config central pour les nouveaux clients et compte d'audit pour les clients existants). Le nouvel agrégateur peut agréger les données de n'importe quel AWS Config enregistreur de l'organisation, y compris les comptes non gérés par Control Tower.

    3. Les agrégateurs existants seront supprimés - L'agrégateur d'organisation dans le compte de gestion (aws-controltower-ConfigAggregatorForOrganizations) et l'agrégateur de compte dans le compte d'audit (aws-controltower-GuardRailsComplianceAggregator) seront supprimés.

    4. L'agrégateur de configuration étant lié à un service, les contrôles associés aux agrégateurs supprimés seront automatiquement supprimés.

      1. Interdire les modifications apportées aux balises créées par AWS Control Tower pour les ressources AWS Config

      2. Interdire la suppression des autorisations d'agrégation AWS Config créées par AWS Control Tower

  • Nouvelle ConfigBaseline base de référence : il existe désormais un support distinct ConfigBaseline au niveau de l'unité d'organisation pour le support des contrôles de détection, sans qu'il soit nécessaire de recourir à une solution complèteAWSControlTowerBaseline. Consultez la liste des types de lignes de base au niveau de l'unité d'organisation pour plus d'informations. Pour les clients existants qui utilisent la zone d'atterrissage par défaut, toutes les intégrations de services sont désormais facultatives, sous réserve des exigences de dépendance décrites dans. Principaux changements

  • Service-Linked Config Aggregator : remplace les agrégateurs d'organisations et de comptes dans le compte agrégateur AWS Config central.

    • Lors de la mise à niveau vers la landing zone 4.0 avec AWS Config intégration activée, les clients doivent disposer d'organizations:ListDelegatedAdministratorsautorisations 

      
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}
Important

Après avoir effectué la mise à niveau vers la version 4.0 de landing zone et activé l' AWS Config intégration, vous devez terminer le processus d'activation. Mettez à jour ou activez-les ConfigBaseline sur toutes les unités d'organisation dans lesquelles vous souhaitez déployer AWS Config des ressources. Tant que vous n'aurez pas terminé ce processus, votre AWS Config agrégateur ne recevra pas de données provenant des enregistreurs. Chaque compte continue d'enregistrer et de stocker des données. Une fois la mise à jour terminéeConfigBaseline, les données enregistrées sont automatiquement rechargées dans l'agrégateur.

Nous vous recommandons de réenregistrer vos UO ou de les activer ConfigBaseline dès que possible après avoir activé l' AWS Config intégration. La mise à jour de la zone d'atterrissage supprime les autorisations de AWS Config livraison de l'ancienne politique de compartiment S3, mais les canaux de distribution ne sont redirigés vers le nouveau compartiment qu'une fois que vous avez terminé votre réenregistrement. D'ici là, les instantanés de configuration et l'historique de configuration ne sont pas transmis à S3.

Si le réenregistrement est retardé, certaines de ces données risquent de ne pas être transmises à S3 une fois le réenregistrement terminé. Vous pouvez récupérer toutes les données enregistrées pendant la période de conservation configurée à l'aide de l'config:GetResourceConfigHistoryAPI.