As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Guia de migração do Landing Zone v4.0
O AWS Control Tower Landing Zone 4.0 introduz uma grande reformulação da arquitetura da zona de pouso, oferecendo uma experiência flexível de controles dedicados e integrações de serviços totalmente opcionais. Os principais aprimoramentos incluem a capacidade de habilitar seletivamente a AWS Config AWS e as AWS Backup integrações CloudTrail SecurityRoles, com recursos dedicados e a AWS Config AWS CloudTrail para melhorar o isolamento.
A versão elimina os requisitos obrigatórios da estrutura organizacional, permitindo que os clientes definam os seus próprios, ao mesmo tempo em que introduz um novo suporte `ConfigBaseline` para controles de detetive sem a necessidade de uma abordagem abrangente`AWSControlTowerBaseline`. Um Config Aggregator vinculado a serviços substitui os métodos de agregação anteriores, simplificando a coleta de dados de conformidade.
Além disso, o campo de manifesto se torna opcional, permitindo implantações minimalistas de landing zone focadas exclusivamente na AWS Organizations integração e capacitação do controle. Essas mudanças oferecem maiores opções de personalização e, ao mesmo tempo, mantêm recursos robustos de governança, permitindo que os clientes adaptem o AWS Control Tower às suas necessidades específicas com mais eficiência.
**Topics**
+ [Principais mudanças](key-changes-lz-v4.md)
+ [Atualizações do AWS Config](config-updates-v4.md)
# Principais mudanças
**nota**
A definição de “registrado” e “inscrito” mudou com essa nova versão do AWS Control Tower. Quando você account/OU tem algum recurso do AWS Control Tower habilitado nele (por exemplo, controle ou linha de base), ele será considerado um recurso governado. A definição não será mais orientada pela presença da linha de `AWSControlTowerBaseline` base.
As funções vinculadas ao serviço são mantidas em todas as versões da landing zone e não são mais excluídas quando OUs se tornam “não registradas”
As funções vinculadas ao serviço só podem ser excluídas manualmente pelos clientes após o descomissionamento da landing zone
+ **Pré-requisito para o Landing Zone 4.0:** Ao atualizar para a versão 4.0 via API, certifique-se de que a função de `AWSControlTowerCloudTrailRole` serviço use a nova política gerenciada `AWSControlTowerCloudTrailRolePolicy` em vez da política embutida existente. [Separe a política em linha atual e anexe a nova política gerenciada conforme descrito na documentação.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy)
+ **Manifesto opcional:** o campo Manifesto na API do landing zone agora é opcional. Os clientes podem criar zonas de pouso sem nenhuma integração de serviços. Não há impacto para os clientes existentes que já estão usando o campo de manifesto.
+ **Estrutura organizacional opcional:** o AWS Control Tower não aplica mais nem gerencia a criação da OU de segurança para que os clientes possam definir e gerenciar sua própria estrutura organizacional. No entanto, o AWS Control Tower exigirá que todas as contas configuradas para cada integração de serviços da AWS estejam sob a mesma OU principal. Não há impacto para os clientes que já configuraram o AWS Control Tower e têm a OU de segurança. O AWS Control Tower implanta automaticamente os recursos e os controles necessários para gerenciar contas de integração de serviços na OU de segurança. Por exemplo, quando a integração com o AWS Config é ativada, a gravação do AWS Config é ativada em todas as contas de integração de serviços. A linha de base do AWS Control Tower e a linha de base do AWS Config não são aplicáveis à OU de segurança e às contas de integração. Para alterar as integrações de serviços, atualize as configurações do landing zone.
**nota**
A configuração da estrutura organizacional para a zona de pouso 4.0 do AWS Control Tower mudou em relação às versões anteriores da zona de pouso. O AWS Control Tower não criará mais a OU de segurança designada. A OU com as contas de integração de serviços será a OU de segurança designada.
Se as contas dos membros forem transferidas para a OU em que residem as contas de cada integração, os controles ativados nessa OU serão transferidos, independentemente de a inscrição automática estar ativada ou desativada.
+ **Notificações de deriva:** o AWS Control Tower deixará de enviar notificações de deriva para o tópico do SNS para todos os clientes na landing zone 4.0 sem a `AWSControlTowerBaseline` habilitação e, EventBridge em vez disso, começará a enviar notificações de deriva para a conta de gerenciamento. Para analisar exemplos de eventos e orientações sobre como receber notificações de deriva EventBridge, consulte [este guia](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html).
+ **Integrações de serviços opcionais:** agora você tem a capacidade de fazer enable/disable todas as integrações do AWS Control Tower, incluindo AWS Config AWS CloudTrail SecurityRoles, e. AWS Backup Agora, essas integrações também têm `enabled` sinalizadores opcionalmente obrigatórios na API. As linhas de base que podem ser aplicadas à sua landing zone ou contas compartilhadas agora dependem umas das outras. As dependências específicas das integrações são:
+ Capacitação:
+ `CentralSecurityRolesBaseline`→ `CentralConfigBaseline` precisa ser ativado
+ `IdentityCenterBaseline`→ `CentralSecurityRolesBaseline` precisa ser ativado
+ `BackupCentralVaultBaseline`→ `CentralSecurityRolesBaseline` precisa ser ativado
+ `BackupAdminBaseline`→ `CentralSecurityRolesBaseline` precisa ser ativado
+ `LogArchiveBaseline`→ independente (sem dependências)
+ `CentralConfigBaseline`→ independente (sem dependências)
+ Deficiência:
+ `CentralConfigBaseline`só podem ser desativadas se`CentralSecurityRolesBaseline`,`IdentityCenterBaseline`, `BackupAdminBaseline` e as `BackupCentralVaultBaseline` linhas de base forem desativadas primeiro.
+ `CentralSecurityRolesBaseline`só podem ser desativadas se`IdentityCenterBaseline`, `BackupAdminBaseline` e as `BackupCentralVaultBaseline` linhas de base forem desativadas primeiro.
+ `IdentityCenterBaseline`pode ser desativado de forma independente.
+ `BackupAdminBaseline`e as `BackupCentralVaultBaseline` linhas de base podem ser desativadas de forma independente
+ `LogArchiveBaseline`pode ser desativado de forma independente
# Atualizações do AWS Config
+ **Recursos dedicados para AWS Config e AWS CloudTrail:** AWS Config e a AWS CloudTrail agora usa buckets S3 dedicados e tópicos de SNS separados em vez de recursos compartilhados. Os clientes têm flexibilidade restrita para usar contas únicas ou separadas para várias integrações.
+ Ao fazer o upgrade para a versão 4.0 da landing zone do AWS Control Tower, os dados existentes e os buckets S3 não são movidos. A CloudTrail integração com a AWS continua usando o bucket S3 existente com prefixo`aws-controltower-logs`. Os novos dados do AWS Config após a operação de atualização serão armazenados em um novo bucket S3 com o prefixo que o AWS Control `aws-controltower-config` Tower cria na conta designada para o. CentralConfigBaseline
**nota**
Habilitar a CloudTrail integração da AWS na landing zone 4.0 pela primeira vez criará novos buckets S3 a cada vez com o prefixo `aws-controltower-cloudtrail`
+ Mudanças na localização dos dados: os clientes existentes que fizerem o upgrade de recursos compartilhados anteriormente para recursos dedicados terão AWS Config CloudTrail dados da AWS em diferentes buckets do S3. Fluxos de trabalho e ferramentas estabelecidos para clientes podem precisar de atualizações para acessar dados de novos locais de bucket.
+ A AWS CloudTrail continuará no mesmo bucket existente, mas AWS Config os dados estarão em um novo bucket S3 criado pela AWS Control Tower.
+ Os clientes podem configurar a replicação entre buckets se quiserem centralizar diferentes registros em um único bucket. Consulte a [documentação do S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) para obter mais informações.
+ Se você cadastrou contas com canais de entrega preexistentes do AWS Config não criados pela AWS Control Tower em regiões governadas pela AWS Control Tower, atualize o nome do bucket S3 do Delivery Channels para o novo bucket S3 com prefixo `aws-controltower-config-logs-` na conta de integração do AWS Config para ser consistente com as configurações da AWS Control Tower na landing zone 4.0. Para obter mais detalhes, consulte [Inscrever contas que tenham recursos existentes AWS Config](existing-config-resources.md).
+ **AWS Config integração na landing zone versão 4.0:** Ao migrar para a landing zone 4.0 com a AWS Config integração ativada, os clientes veriam as seguintes alterações -
1. A conta de auditoria existente está registrada como administrador delegado da. AWS Config
1. O Service-Linked Config Aggregator é implantado na conta de auditoria (conta agregadora AWS Config central para novos clientes e conta de auditoria para clientes existentes). O novo agregador pode agregar dados de qualquer AWS Config gravador na organização, incluindo contas não gerenciadas pela Control Tower.
1. Os agregadores existentes serão excluídos - O agregador da organização na conta de gerenciamento (`aws-controltower-ConfigAggregatorForOrganizations`) e o agregador de contas na conta de auditoria (`aws-controltower-GuardRailsComplianceAggregator`) serão excluídos.
1. Como o Configuration Aggregator está vinculado ao serviço, os controles associados aos agregadores excluídos serão removidos automaticamente.
1. [Proibir alterações nas tags criadas pelo AWS Control Tower para recursos do AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)
1. [Proibir a exclusão de autorizações de agregação do AWS Config criadas pela AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ **Nova `ConfigBaseline` linha de base:** agora existe uma linha separada `ConfigBaseline` no nível da OU para suporte aos controles de detetive sem a necessidade de um suporte abrangente. `AWSControlTowerBaseline` Consulte a lista de [tipos de linha de base no nível da OU](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) para obter mais informações. Para clientes existentes que estão usando o landing zone padrão, todas as integrações de serviços agora são opcionais, com a ressalva dos requisitos de dependência descritos em. [Principais mudanças](key-changes-lz-v4.md)
+ **Agregador de configuração vinculado ao serviço: substitui os agregadores** de organização e conta na conta agregadora central. AWS Config
+ Ao fazer o upgrade para o landing zone 4.0 com a AWS Config integração ativada, os clientes precisam ter permissões `organizations:ListDelegatedAdministrators`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup:UpdateGlobalSettings",
"controltower:CreateLandingZone",
"controltower:UpdateLandingZone",
"controltower:ResetLandingZone",
"controltower:DeleteLandingZone",
"controltower:GetLandingZoneOperation",
"controltower:GetLandingZone",
"controltower:ListLandingZones",
"controltower:ListLandingZoneOperations",
"controltower:ListTagsForResource",
"controltower:TagResource",
"controltower:UntagResource",
"servicecatalog:*",
"organizations:*",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"sso:*",
"sso-directory:*",
"logs:*",
"cloudformation:*",
"kms:*",
"iam:GetRole",
"iam:CreateRole",
"iam:GetSAMLProvider",
"iam:CreateSAMLProvider",
"iam:CreateServiceLinkedRole",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*"
}
]
}
```