Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Pembaruan AWS Config + **Sumber daya khusus untuk AWS Config dan AWS CloudTrail:** AWS Config dan AWS CloudTrail sekarang menggunakan bucket S3 dan topik SNS khusus yang terpisah alih-alih sumber daya bersama. Pelanggan memiliki fleksibilitas terbatas untuk menggunakan akun tunggal atau terpisah untuk beberapa integrasi. + Saat memutakhirkan ke AWS Control Tower landing zone versi 4.0, data yang ada dan bucket S3 tidak dipindahkan. CloudTrail Integrasi AWS terus menggunakan bucket S3 yang ada dengan awalan`aws-controltower-logs`. Data AWS Config baru setelah operasi pembaruan akan disimpan dalam bucket S3 baru dengan awalan yang dibuat AWS Control `aws-controltower-config` Tower di akun yang ditunjuk untuk. CentralConfigBaseline **catatan** Mengaktifkan CloudTrail integrasi AWS di landing zone 4.0 untuk pertama kalinya akan membuat bucket S3 baru setiap kali dengan awalan `aws-controltower-cloudtrail` + Perubahan Lokasi Data: Pelanggan yang sudah ada yang meningkatkan dari sumber daya yang dibagikan sebelumnya ke sumber daya khusus akan memiliki AWS Config dan CloudTrail data AWS dalam bucket S3 yang berbeda. Alur kerja dan alat pelanggan yang sudah mapan mungkin memerlukan pembaruan untuk mengakses data dari lokasi bucket baru. + AWS CloudTrail akan terus berada di bucket yang sama, tetapi AWS Config data akan berada di bucket S3 baru yang dibuat oleh AWS Control Tower. + Pelanggan dapat mengatur replikasi cross-bucket jika mereka ingin memusatkan log yang berbeda ke satu ember. Silakan lihat [dokumentasi S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) untuk informasi lebih lanjut. + Jika Anda telah mendaftarkan akun dengan Saluran Pengiriman AWS Config yang sudah ada sebelumnya yang tidak dibuat oleh AWS Control Tower di Wilayah yang diatur oleh AWS Control Tower, perbarui nama bucket S3 Saluran Pengiriman ke bucket S3 baru dengan awalan `aws-controltower-config-logs-` di akun integrasi AWS Config agar konsisten dengan konfigurasi AWS Control Tower di landing zone 4.0. Lihat detail selengkapnya di [Daftarkan akun yang memiliki sumber daya yang ada AWS Config](existing-config-resources.md). + **AWS Config integrasi pada landing zone versi 4.0:** Saat bermigrasi ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan akan melihat perubahan berikut - 1. Akun Audit yang ada terdaftar sebagai admin yang didelegasikan untuk AWS Config. 1. Service-Linked Config Aggregator disebarkan ke akun Audit (akun agregator AWS Config pusat untuk pelanggan baru dan akun Audit untuk pelanggan yang sudah ada). Agregator baru dapat mengumpulkan data dari AWS Config Perekam mana pun di organisasi, termasuk akun yang dikelola Non-Control Tower. 1. Agregator yang ada akan dihapus - Agregator organisasi di akun manajemen (`aws-controltower-ConfigAggregatorForOrganizations`) dan agregator akun di akun Audit (`aws-controltower-GuardRailsComplianceAggregator`) akan dihapus. 1. Karena Configuration Aggregator terhubung dengan layanan, kontrol yang terkait dengan agregator yang dihapus akan dihapus secara otomatis. 1. [Larang Perubahan pada Tag yang Dibuat oleh AWS Control Tower untuk Sumber Daya AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes) 1. [Larang Penghapusan Otorisasi Agregasi AWS Config yang Dibuat oleh AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) + **`ConfigBaseline`Garis dasar baru:** Sekarang ada yang terpisah `ConfigBaseline` di tingkat OU untuk dukungan kontrol detektif tanpa memerlukan yang komprehensif. `AWSControlTowerBaseline` Lihat daftar [tipe dasar di tingkat OU](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) untuk informasi lebih lanjut. Untuk pelanggan lama yang menggunakan landing zone default, semua integrasi layanan sekarang opsional, dengan peringatan persyaratan ketergantungan yang diuraikan dalam. [Perubahan kunci](key-changes-lz-v4.md) + **Service-Linked Config Aggregator: Menggantikan agregator** organisasi dan akun di akun agregator pusat. AWS Config + Saat meningkatkan ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan harus memiliki izin `organizations:ListDelegatedAdministrators` ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] } ``` **penting** Setelah Anda meng-upgrade ke landing zone versi 4.0 dan mengaktifkan AWS Config integrasi, Anda harus menyelesaikan proses enablement. Perbarui atau aktifkan `ConfigBaseline` di semua OU tempat Anda ingin menyebarkan AWS Config sumber daya. Sampai Anda menyelesaikan proses ini, AWS Config Aggregator Anda tidak akan menerima data dari perekam. Setiap akun terus merekam dan menyimpan data. Setelah Anda selesai memperbarui`ConfigBaseline`, data yang direkam secara otomatis mengisi kembali ke agregator. Kami menyarankan Anda mendaftarkan ulang OU Anda atau mengaktifkan `ConfigBaseline` sesegera mungkin setelah mengaktifkan integrasi. AWS Config Pembaruan landing zone menghapus izin AWS Config pengiriman dari kebijakan bucket S3 sebelumnya, tetapi saluran pengiriman dialihkan ke bucket baru hanya setelah Anda menyelesaikan pendaftaran ulang. Sampai saat itu, snapshot konfigurasi dan riwayat konfigurasi tidak dikirimkan ke S3. Jika pendaftaran ulang tertunda, beberapa data ini mungkin tidak dikirim ke S3 setelah pendaftaran ulang selesai. Anda dapat mengambil semua data yang direkam dalam periode retensi yang dikonfigurasi menggunakan `config:GetResourceConfigHistory` API.