Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida alla migrazione di Landing Zone v4.0
<a name="landing-zone-v4-migration-guide"></a>

 AWS Control Tower Landing Zone 4.0 introduce un'importante revisione dell'architettura delle landing zone, offrendo un'esperienza di controllo flessibile dedicata e integrazioni di servizi completamente opzionali. I miglioramenti principali includono la possibilità di abilitare selettivamente AWS Config AWS e AWS Backup le integrazioni CloudTrail SecurityRoles, con risorse dedicate per e AWS Config CloudTrail AWS per un migliore isolamento. 

 La versione elimina i requisiti obbligatori della struttura organizzativa, permettendo ai clienti di definirne di propri, e introduce al contempo un nuovo supporto `ConfigBaseline` per i controlli investigativi senza la necessità di una soluzione completa. `AWSControlTowerBaseline` Un Config Aggregator collegato ai servizi sostituisce i metodi di aggregazione precedenti, semplificando la raccolta dei dati di conformità. 

 Inoltre, il campo manifest diventa opzionale e consente implementazioni minimaliste di landing zone incentrate esclusivamente sull' AWS Organizations integrazione e l'abilitazione del controllo. Queste modifiche offrono maggiori opzioni di personalizzazione pur mantenendo solide capacità di governance, consentendo ai clienti di adattare AWS Control Tower alle loro esigenze specifiche in modo più efficace. 

**Topics**
+ [Modifiche chiave](key-changes-lz-v4.md)
+ [Aggiornamenti di AWS Config](config-updates-v4.md)

# Modifiche chiave
<a name="key-changes-lz-v4"></a>

**Nota**  
 La definizione di «registrato» e «registrato» è cambiata con questa nuova versione di AWS Control Tower. Quando su di essa account/OU è abilitata una risorsa AWS Control Tower (ad esempio control o baseline), verrà considerata una risorsa gestita. La definizione non sarà più determinata dalla presenza della linea di `AWSControlTowerBaseline` base. 
 I ruoli collegati ai servizi vengono mantenuti in tutte le versioni di landing zone e non vengono più eliminati quando OUs diventano «non registrati» 
 I ruoli collegati ai servizi possono essere eliminati manualmente dai clienti solo dopo la disattivazione della landing zone 
+  **Prerequisito per Landing Zone 4.0:** quando esegui l'aggiornamento alla versione 4.0 tramite API, assicurati che il ruolo del `AWSControlTowerCloudTrailRole` servizio utilizzi la nuova politica gestita anziché la politica in linea esistente. `AWSControlTowerCloudTrailRolePolicy` [Scollega la politica in linea corrente e allega la nuova politica gestita come descritto nella documentazione.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy) 
+  **Manifesto opzionale:** il campo Manifest nell'API landing zone è ora facoltativo. I clienti possono creare zone di atterraggio senza alcuna integrazione di servizi. Non vi è alcun impatto per i clienti esistenti che utilizzano già il campo manifest. 
+  **Struttura organizzativa opzionale:** AWS Control Tower non applica o gestisce più la creazione di unità organizzative di sicurezza in modo che i clienti possano definire e gestire la propria struttura organizzativa. Tuttavia, AWS Control Tower richiederà che tutti gli account configurati per ogni integrazione di servizi AWS si trovino nella stessa unità organizzativa principale. Non vi è alcun impatto per i clienti che hanno già configurato AWS Control Tower e dispongono dell'unità organizzativa di sicurezza. AWS Control Tower distribuisce automaticamente le risorse e i controlli necessari per gestire gli account di integrazione dei servizi nell'unità organizzativa di sicurezza. Ad esempio, quando l'integrazione con AWS Config è abilitata, la registrazione con AWS Config è abilitata in tutti gli account di integrazione dei servizi. La AWS Control Tower Baseline e la AWS Config Baseline non sono applicabili alle unità organizzative di sicurezza e agli account di integrazione. Per modificare le integrazioni dei servizi, aggiorna le impostazioni della landing zone. 
**Nota**  
 La configurazione della struttura organizzativa per AWS Control Tower landing zone 4.0 è cambiata rispetto alle versioni precedenti. AWS Control Tower non creerà più l'unità organizzativa di sicurezza designata. L'unità organizzativa con gli account di integrazione del servizio sarà l'unità organizzativa di sicurezza designata. 
 Se gli account dei membri vengono trasferiti nell'unità organizzativa in cui risiedono gli account per ogni integrazione, i controlli abilitati su quell'unità organizzativa vengono spostati indipendentemente dal fatto che la registrazione automatica sia attivata o disattivata. 
+  **Notifiche di drift:** AWS Control Tower interromperà l'invio di notifiche di drift all'argomento SNS per tutti i clienti sulla landing zone 4.0 senza l'`AWSControlTowerBaseline`opzione abilitata e inizierà invece a inviare notifiche di drift all'account EventBridge di gestione. [Per esaminare esempi di eventi e linee guida su come ricevere notifiche di drift EventBridge, consulta questa guida.](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html) 
+  **Integrazioni di servizi opzionali:** ora hai la possibilità di utilizzare enable/disable tutte le integrazioni di AWS Control Tower CloudTrail SecurityRoles, tra cui AWS Config AWS e. AWS Backup Queste integrazioni ora hanno anche dei `enabled` flag opzionalmente richiesti nell'API. Le linee di base che possono essere applicate alla tua landing zone o agli account condivisi ora dipendono l'una dall'altra. Le dipendenze specifiche delle integrazioni sono: 
  + Abilitazione:
    +  `CentralSecurityRolesBaseline`→ richiede di essere `CentralConfigBaseline` abilitato 
    +  `IdentityCenterBaseline`→ richiede `CentralSecurityRolesBaseline` di essere abilitato 
    +  `BackupCentralVaultBaseline`→ richiede `CentralSecurityRolesBaseline` di essere abilitato 
    +  `BackupAdminBaseline`→ richiede `CentralSecurityRolesBaseline` di essere abilitato 
    +  `LogArchiveBaseline`→ indipendente (nessuna dipendenza) 
    +  `CentralConfigBaseline`→ indipendente (nessuna dipendenza) 
  + Disabilitazione: 
    +  `CentralConfigBaseline`può essere disabilitato solo se `CentralSecurityRolesBaseline``IdentityCenterBaseline`, `BackupAdminBaseline` e le `BackupCentralVaultBaseline` linee di base vengono disabilitate per prime. 
    +  `CentralSecurityRolesBaseline`può essere disabilitato solo se `IdentityCenterBaseline` `BackupAdminBaseline` e le `BackupCentralVaultBaseline` linee di base vengono disabilitate per prime. 
    +  `IdentityCenterBaseline`può essere disabilitato indipendentemente. 
    +  `BackupAdminBaseline`e le `BackupCentralVaultBaseline` linee di base possono essere disabilitate indipendentemente 
    +  `LogArchiveBaseline`può essere disabilitato indipendentemente 

# Aggiornamenti di AWS Config
<a name="config-updates-v4"></a>
+  **Risorse dedicate per AWS Config e AWS CloudTrail:** AWS Config e AWS CloudTrail ora utilizza bucket S3 dedicati e argomenti SNS separati anziché risorse condivise. I clienti hanno una flessibilità limitata nell'utilizzare un account singolo o separato per più integrazioni. 
  +  Durante l'aggiornamento alla versione 4.0 della landing zone di AWS Control Tower, i dati esistenti e i bucket S3 non vengono spostati. CloudTrail L'integrazione con AWS continua a utilizzare il bucket S3 esistente con prefisso. `aws-controltower-logs` I nuovi dati di AWS Config dopo l'operazione di aggiornamento verranno archiviati in un nuovo bucket S3 con prefisso che AWS Control `aws-controltower-config` Tower crea nell'account designato per. CentralConfigBaseline 
**Nota**  
 Abilitando CloudTrail l'integrazione con AWS sulla landing zone 4.0 per la prima volta verranno creati nuovi bucket S3 ogni volta con prefisso `aws-controltower-cloudtrail` 
  +  Modifiche alla posizione dei dati: i clienti esistenti che effettuano l'aggiornamento da risorse precedentemente condivise a risorse dedicate avranno CloudTrail i dati AWS Config AWS in diversi bucket S3. I flussi di lavoro e gli strumenti consolidati dei clienti potrebbero richiedere aggiornamenti per accedere ai dati da nuove ubicazioni di bucket. 
  +  AWS CloudTrail continuerà a rimanere nello stesso bucket esistente, ma AWS Config i dati si troveranno in un nuovo bucket S3 creato da AWS Control Tower. 
  +  I clienti possono configurare la replica tra bucket se desiderano centralizzare diversi log in un unico bucket. [Per ulteriori informazioni, consulta la documentazione di S3.](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) 
  +  Se hai account registrati con canali di distribuzione AWS Config preesistenti non creati da AWS Control Tower in regioni governate da AWS Control Tower, aggiorna il nome del bucket S3 di Delivery Channels nel nuovo bucket S3 con prefisso `aws-controltower-config-logs-` nell'account di integrazione AWS Config per essere coerente con le configurazioni AWS Control Tower sulla landing zone 4.0. Maggiori dettagli sono disponibili in [Registrare account che dispongono di risorse esistenti AWS Config](existing-config-resources.md). 
+  **AWS Config integrazione nella versione 4.0 della landing zone:** durante la migrazione alla landing zone 4.0 con AWS Config l'integrazione abilitata, i clienti vedrebbero le seguenti modifiche - 

  1.  L'account Audit esistente è registrato come amministratore delegato per. AWS Config

  1.  Service-Linked Config Aggregator viene distribuito nell'account Audit (account aggregatore AWS Config centrale per i nuovi clienti e account Audit per i clienti esistenti). Il nuovo aggregatore può aggregare i dati da qualsiasi AWS Config registratore dell'organizzazione, inclusi gli account gestiti non Control Tower. 

  1.  Gli aggregatori esistenti verranno eliminati: l'aggregatore di organizzazioni nell'account di gestione (`aws-controltower-ConfigAggregatorForOrganizations`) e l'aggregatore di account nell'account Audit () verranno eliminati. `aws-controltower-GuardRailsComplianceAggregator` 

  1.  Poiché Configuration Aggregator è collegato al servizio, i controlli associati agli aggregatori eliminati verranno rimossi automaticamente. 

     1. [Impedisci modifiche ai tag creati da AWS Control Tower per le risorse AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)

     1. [Impedire l'eliminazione delle autorizzazioni di AWS Config Aggregation create da AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+  **Nuova `ConfigBaseline` linea di base:** ora esiste una soluzione distinta `ConfigBaseline` a livello di unità organizzativa per il supporto dei controlli investigativi, senza richiedere una soluzione completa. `AWSControlTowerBaseline` Per ulteriori informazioni, consulta [l'elenco dei tipi di base a livello di unità organizzativa](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types). Per i clienti esistenti che utilizzano la landing zone predefinita, tutte le integrazioni dei servizi sono ora opzionali, con l'avvertenza dei requisiti di dipendenza descritta in. [Modifiche chiave](key-changes-lz-v4.md) 
+  **Service-Linked Config Aggregator: sostituisce gli aggregatori** di organizzazioni e account nell'account aggregatore centrale. AWS Config 
  +  Quando si esegue l'aggiornamento alla landing zone 4.0 con AWS Config l'integrazione abilitata, i clienti devono disporre delle autorizzazioni `organizations:ListDelegatedAdministrators` 

    ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
          {
             "Effect": "Allow",
             "Action": [
               "backup:UpdateGlobalSettings",
               "controltower:CreateLandingZone",
               "controltower:UpdateLandingZone",
               "controltower:ResetLandingZone",
               "controltower:DeleteLandingZone",
               "controltower:GetLandingZoneOperation",
               "controltower:GetLandingZone",
               "controltower:ListLandingZones",
               "controltower:ListLandingZoneOperations",
               "controltower:ListTagsForResource",
               "controltower:TagResource",
               "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
             ],
             "Resource": "*"
          }
       ]
    }
    ```