Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Panduan migrasi Landing Zone v4.0
AWS Control Tower Landing Zone 4.0 memperkenalkan perombakan besar-besaran pada arsitektur landing zone, menawarkan pengalaman kontrol khusus yang fleksibel dan integrasi layanan opsional sepenuhnya. Peningkatan utama mencakup kemampuan untuk mengaktifkan secara selektif, AWS Config AWS, dan AWS Backup integrasi CloudTrail SecurityRoles, dengan sumber daya khusus untuk dan AWS Config CloudTrail AWS untuk isolasi yang lebih baik.
Rilis ini menghapus persyaratan struktur organisasi wajib, memungkinkan pelanggan untuk menentukan sendiri, sambil memperkenalkan dukungan kontrol detektif baru `ConfigBaseline` tanpa memerlukan yang komprehensif`AWSControlTowerBaseline`. Agregator Config tertaut layanan menggantikan metode agregasi sebelumnya, menyederhanakan pengumpulan data kepatuhan.
Selain itu, bidang manifes menjadi opsional, memungkinkan penyebaran landing zone minimalis yang hanya berfokus pada AWS Organizations integrasi dan pemberdayaan kontrol. Perubahan ini memberikan opsi penyesuaian yang lebih besar sambil mempertahankan kemampuan tata kelola yang kuat, memungkinkan pelanggan untuk menyesuaikan AWS Control Tower dengan kebutuhan spesifik mereka secara lebih efektif.
**Topics**
+ [Perubahan kunci](key-changes-lz-v4.md)
+ [Pembaruan AWS Config](config-updates-v4.md)
# Perubahan kunci
**catatan**
Definisi “terdaftar” dan “terdaftar” telah bergeser dengan versi baru AWS Control Tower ini. Jika Anda account/OU mengaktifkan sumber daya AWS Control Tower (misalnya kontrol atau baseline), sumber daya AWS Control Tower akan dianggap sebagai sumber daya yang diatur. Definisi tidak akan lagi didorong oleh kehadiran `AWSControlTowerBaseline` baseline.
Peran Tertaut Layanan dipertahankan di semua versi landing zone dan tidak lagi dihapus saat OUs menjadi “tidak terdaftar”
Peran Tertaut Layanan hanya dapat dihapus secara manual oleh pelanggan setelah penonaktifan landing zone
+ **Prasyarat untuk Landing Zone 4.0:** Saat memutakhirkan ke versi 4.0 melalui API, pastikan peran `AWSControlTowerCloudTrailRole` layanan menggunakan kebijakan terkelola baru, `AWSControlTowerCloudTrailRolePolicy` bukan kebijakan sebaris yang ada. [Lepaskan kebijakan inline saat ini dan lampirkan kebijakan terkelola baru seperti yang dijelaskan dalam dokumentasi.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy)
+ **Manifes Opsional:** Bidang manifes di API landing zone sekarang opsional. Pelanggan dapat membuat Zona Pendaratan tanpa integrasi layanan apa pun. Tidak ada dampak bagi pelanggan yang sudah ada yang sudah menggunakan bidang manifes.
+ **Struktur Organisasi Opsional:** AWS Control Tower tidak lagi memberlakukan atau mengelola pembuatan OU Keamanan sehingga pelanggan dapat menentukan dan mengelola struktur organisasi mereka sendiri. Namun, AWS Control Tower akan mewajibkan semua akun yang dikonfigurasi untuk setiap integrasi layanan AWS berada di bawah OU induk yang sama. Tidak ada dampak bagi pelanggan yang telah menyiapkan AWS Control Tower dan memiliki Security OU. AWS Control Tower secara otomatis menyebarkan sumber daya dan kontrol yang diperlukan untuk mengelola akun integrasi layanan di OU Keamanan. Misalnya, ketika integrasi AWS Config diaktifkan, perekaman AWS Config diaktifkan di semua akun integrasi layanan. AWS Control Tower Baseline dan AWS Config Baseline tidak berlaku untuk OU Keamanan dan akun integrasi. Untuk mengubah integrasi layanan, perbarui pengaturan landing zone.
**catatan**
Pengaturan struktur organisasi untuk AWS Control Tower landing zone 4.0 telah berubah dari versi landing zone sebelumnya. AWS Control Tower tidak akan lagi membuat OU Keamanan yang ditunjuk. OU dengan akun integrasi layanan akan menjadi OU Keamanan yang ditunjuk.
Jika akun anggota pindah ke OU di mana akun untuk setiap integrasi berada, kontrol yang diaktifkan pada OU tersebut akan dialihkan terlepas dari apakah pendaftaran otomatis diaktifkan atau dimatikan.
+ **Pemberitahuan Drift:** AWS Control Tower akan berhenti mengirimkan notifikasi drift ke topik SNS untuk semua pelanggan di landing zone 4.0 tanpa `AWSControlTowerBaseline` diaktifkan, dan akan mulai mengirim notifikasi drift ke akun EventBridge manajemen. Untuk meninjau contoh acara dan panduan tentang cara menerima pemberitahuan drift EventBridge, silakan periksa [panduan ini](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html).
+ **Integrasi Layanan Opsional:** Anda sekarang memiliki kemampuan untuk enable/disable semua integrasi AWS Control Tower termasuk CloudTrail, AWS Config AWS SecurityRoles, dan. AWS Backup Integrasi ini juga sekarang memiliki `enabled` flag yang diperlukan secara opsional di API. Garis dasar yang mungkin berlaku untuk landing zone atau akun bersama Anda sekarang memiliki ketergantungan satu sama lain. Dependensi spesifik Integrasi adalah:
+ Pemberdayaan:
+ `CentralSecurityRolesBaseline`→ `CentralConfigBaseline` perlu diaktifkan
+ `IdentityCenterBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan
+ `BackupCentralVaultBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan
+ `BackupAdminBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan
+ `LogArchiveBaseline`→ independen (tidak ada dependensi)
+ `CentralConfigBaseline`→ independen (tidak ada dependensi)
+ Cacat:
+ `CentralConfigBaseline`hanya dapat dinonaktifkan jika`CentralSecurityRolesBaseline`,`IdentityCenterBaseline`, `BackupAdminBaseline` dan `BackupCentralVaultBaseline` baseline dinonaktifkan terlebih dahulu.
+ `CentralSecurityRolesBaseline`hanya dapat dinonaktifkan jika`IdentityCenterBaseline`, `BackupAdminBaseline` dan `BackupCentralVaultBaseline` baseline dinonaktifkan terlebih dahulu.
+ `IdentityCenterBaseline`dapat dinonaktifkan secara mandiri.
+ `BackupAdminBaseline`dan `BackupCentralVaultBaseline` baseline dapat dinonaktifkan secara independen
+ `LogArchiveBaseline`dapat dinonaktifkan secara mandiri
# Pembaruan AWS Config
+ **Sumber daya khusus untuk AWS Config dan AWS CloudTrail:** AWS Config dan AWS CloudTrail sekarang menggunakan bucket S3 dan topik SNS khusus yang terpisah alih-alih sumber daya bersama. Pelanggan memiliki fleksibilitas terbatas untuk menggunakan akun tunggal atau terpisah untuk beberapa integrasi.
+ Saat memutakhirkan ke AWS Control Tower landing zone versi 4.0, data yang ada dan bucket S3 tidak dipindahkan. CloudTrail Integrasi AWS terus menggunakan bucket S3 yang ada dengan awalan`aws-controltower-logs`. Data AWS Config baru setelah operasi pembaruan akan disimpan dalam bucket S3 baru dengan awalan yang dibuat AWS Control `aws-controltower-config` Tower di akun yang ditunjuk untuk. CentralConfigBaseline
**catatan**
Mengaktifkan CloudTrail integrasi AWS di landing zone 4.0 untuk pertama kalinya akan membuat bucket S3 baru setiap kali dengan awalan `aws-controltower-cloudtrail`
+ Perubahan Lokasi Data: Pelanggan yang sudah ada yang meningkatkan dari sumber daya yang dibagikan sebelumnya ke sumber daya khusus akan memiliki AWS Config dan CloudTrail data AWS dalam bucket S3 yang berbeda. Alur kerja dan alat pelanggan yang sudah mapan mungkin memerlukan pembaruan untuk mengakses data dari lokasi bucket baru.
+ AWS CloudTrail akan terus berada di bucket yang sama, tetapi AWS Config data akan berada di bucket S3 baru yang dibuat oleh AWS Control Tower.
+ Pelanggan dapat mengatur replikasi cross-bucket jika mereka ingin memusatkan log yang berbeda ke satu ember. Silakan lihat [dokumentasi S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) untuk informasi lebih lanjut.
+ Jika Anda telah mendaftarkan akun dengan Saluran Pengiriman AWS Config yang sudah ada sebelumnya yang tidak dibuat oleh AWS Control Tower di Wilayah yang diatur oleh AWS Control Tower, perbarui nama bucket S3 Saluran Pengiriman ke bucket S3 baru dengan awalan `aws-controltower-config-logs-` di akun integrasi AWS Config agar konsisten dengan konfigurasi AWS Control Tower di landing zone 4.0. Lihat detail selengkapnya di [Daftarkan akun yang memiliki sumber daya yang ada AWS Config](existing-config-resources.md).
+ **AWS Config integrasi pada landing zone versi 4.0:** Saat bermigrasi ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan akan melihat perubahan berikut -
1. Akun Audit yang ada terdaftar sebagai admin yang didelegasikan untuk AWS Config.
1. Agregator Konfigurasi Tertaut Layanan disebarkan ke akun Audit (akun agregator AWS Config pusat untuk pelanggan baru dan akun Audit untuk pelanggan lama). Agregator baru dapat mengumpulkan data dari AWS Config Perekam mana pun di organisasi, termasuk akun yang dikelola Menara Non-kontrol.
1. Agregator yang ada akan dihapus - Agregator organisasi di akun manajemen (`aws-controltower-ConfigAggregatorForOrganizations`) dan agregator akun di akun Audit (`aws-controltower-GuardRailsComplianceAggregator`) akan dihapus.
1. Karena Configuration Aggregator terhubung dengan layanan, kontrol yang terkait dengan agregator yang dihapus akan dihapus secara otomatis.
1. [Larang Perubahan pada Tag yang Dibuat oleh AWS Control Tower untuk Sumber Daya AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)
1. [Larang Penghapusan Otorisasi Agregasi AWS Config yang Dibuat oleh AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ **`ConfigBaseline`Garis dasar baru:** Sekarang ada yang terpisah `ConfigBaseline` di tingkat OU untuk dukungan kontrol detektif tanpa memerlukan yang komprehensif. `AWSControlTowerBaseline` Lihat daftar [tipe dasar di tingkat OU](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) untuk informasi lebih lanjut. Untuk pelanggan lama yang menggunakan landing zone default, semua integrasi layanan sekarang opsional, dengan peringatan persyaratan ketergantungan yang diuraikan dalam. [Perubahan kunci](key-changes-lz-v4.md)
+ **Agregator Konfigurasi Tertaut Layanan: Mengganti agregator** organisasi dan akun di akun agregator pusat. AWS Config
+ Saat memutakhirkan ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan harus memiliki izin `organizations:ListDelegatedAdministrators`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup:UpdateGlobalSettings",
"controltower:CreateLandingZone",
"controltower:UpdateLandingZone",
"controltower:ResetLandingZone",
"controltower:DeleteLandingZone",
"controltower:GetLandingZoneOperation",
"controltower:GetLandingZone",
"controltower:ListLandingZones",
"controltower:ListLandingZoneOperations",
"controltower:ListTagsForResource",
"controltower:TagResource",
"controltower:UntagResource",
"servicecatalog:*",
"organizations:*",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"sso:*",
"sso-directory:*",
"logs:*",
"cloudformation:*",
"kms:*",
"iam:GetRole",
"iam:CreateRole",
"iam:GetSAMLProvider",
"iam:CreateSAMLProvider",
"iam:CreateServiceLinkedRole",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*"
}
]
}
```