本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 着陆区 v4.0 迁移指南
<a name="landing-zone-v4-migration-guide"></a>

 AWS Control Tower 着陆区 4.0 引入了对着陆区架构的重大改革，提供了灵活的专用控制体验和完全可选的服务集成。主要增强功能包括能够有选择地启用 AWS Config CloudTrail、AWS 和 AWS Backup 集成 SecurityRoles，以及专 CloudTrail 用于改进隔离的 AWS Config AWS 资源和 AWS。

 该版本取消了强制性的组织结构要求，允许客户定义自己的组织结构要求，同时引入了新的`ConfigBaseline`侦探控制支持，而无需全面的支持`AWSControlTowerBaseline`。与服务关联的 Config Aggregator 取代了以前的聚合方法，简化了合规性数据的收集。

 此外，manifest 字段变为可选字段，从而实现仅侧重于 AWS Organizations 集成和控制启用的最低限度 landing zone 部署。这些变更提供了更多的自定义选项，同时保持了强大的治理能力，使客户能够更有效地根据自己的特定需求量身定制 AWS Control Tower。

**Topics**
+ [关键变更](key-changes-lz-v4.md)
+ [AWS Config 更新](config-updates-v4.md)

# 关键变更
<a name="key-changes-lz-v4"></a>

**注意**  
 随着新版本的 AWS Control Tower，“已注册” 和 “已注册” 的定义发生了变化。当您的上面启用 account/OU 了任何 AWS Control Tower 资源（例如控制或基准）时，它将被视为受管控资源。该定义将不再受`AWSControlTowerBaseline`基线的存在所驱动。
 服务相关角色将在所有 landing zone 版本中保留，并且在 “取消注册” 后 OUs 不再被删除 
 只有在 landing zone 停用后，客户才能手动删除服务相关角色 
+  **着陆区 4.0 的先决条件：**通过 API 升级到版本 4.0 时，请确保`AWSControlTowerCloudTrailRole`服务角色使用新的托管策略`AWSControlTowerCloudTrailRolePolicy`而不是现有的内联策略。如[文档](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy)中所述，分离当前内联策略并附加新的托管策略。
+  land@@ **ing zone API 中的可选 Manifest：**Manifest 字段现在是可选的。客户无需任何服务集成即可创建着陆区。对已经在使用清单字段的现有客户没有影响。
+  **可选组织结构：**AWS Control Tower 不再强制或管理安全 OU 的创建，因此客户可以定义和管理自己的组织结构。但是，AWS Control Tower 将要求为每个 AWS 服务集成配置的所有账户都位于同一个父 OU 下。对于已经设置 AWS Control Tower 并拥有安全 OU 的客户，这不会受到任何影响。AWS Control Tower 会自动部署在安全 OU 中管理服务集成账户所需的资源和控制措施。例如，启用 AWS Config 集成后，将在所有服务集成账户中启用 AWS Config 记录。AWS Control Tower 基准和 AWS Config 基准不适用于安全 OU 和集成账户。要更改服务集成，请更新 landing zone 设置。
**注意**  
 AWS Control Tower 着陆区 4.0 的组织结构设置与之前的着陆区版本相比发生了变化。AWS Control Tower 将不再创建指定的安全 OU。拥有服务集成账户的 OU 将成为指定的安全 OU。
 如果成员账户进入每个集成的账户所在的 OU，则无论自动注册是开启还是关闭，对该 OU 启用的控制都会被移动。
+  **漂移通知：**AWS Control Tower 将停止向未`AWSControlTowerBaseline`启用该功能的着陆区 4.0 上的所有客户向 SNS 主题发送漂移通知，而是开始向管理账户发送漂移通知。 EventBridge 要查看示例事件和有关如何接收漂移通知的指南 EventBridge，请查看[本指南](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)。
+  **可选服务集成：**您现在可以进行 enable/disable 所有 AWS Control Tower 集成，包括 AWS Config AWS CloudTrail SecurityRoles、和。 AWS Backup现在，这些集成在 API 中还具有可选的必填`enabled`标志。现在，可能适用于您的 landing zone 或共享账户的基准相互依赖。集成的特定依赖关系是：
  + 启用：
    +  `CentralSecurityRolesBaseline`→ `CentralConfigBaseline` 需要启用 
    +  `IdentityCenterBaseline`→ `CentralSecurityRolesBaseline` 需要启用 
    +  `BackupCentralVaultBaseline`→ `CentralSecurityRolesBaseline` 需要启用 
    +  `BackupAdminBaseline`→ `CentralSecurityRolesBaseline` 需要启用 
    +  `LogArchiveBaseline`→ 独立（无依赖关系） 
    +  `CentralConfigBaseline`→ 独立（无依赖关系） 
  + 禁用：
    +  `CentralConfigBaseline`只有先禁用`CentralSecurityRolesBaseline`、`IdentityCenterBaseline`、`BackupAdminBaseline`和`BackupCentralVaultBaseline`基准时才能禁用。
    +  `CentralSecurityRolesBaseline`只有在先禁用`BackupAdminBaseline`和`BackupCentralVaultBaseline`基准时才能禁用。`IdentityCenterBaseline`
    +  `IdentityCenterBaseline`可以独立禁用。
    +  `BackupAdminBaseline`并且可以`BackupCentralVaultBaseline`独立禁用基线 
    +  `LogArchiveBaseline`可以独立禁用 

# AWS Config 更新
<a name="config-updates-v4"></a>
+  ** AWS Config 和 AWS CloudTrail: AWS Config 和 AWS 的专用资源** CloudTrail 现在使用单独的专用 S3 存储桶和 SNS 主题，而不是共享资源。客户使用单个或单独的账户进行多个集成的灵活性有限。
  +  升级到 AWS Control Tower 着陆区版本 4.0 时，不会移动现有数据和 S3 存储桶。AWS CloudTrail 集成继续使用带前缀的现有 S3 存储桶`aws-controltower-logs`。更新操作后的新 AWS Config 数据将存储在新 S3 存储桶中，其前缀`aws-controltower-config`是 AWS Control Tower 在为指定的账户中创建的前缀 CentralConfigBaseline。
**注意**  
 首次在 lan CloudTrail ding zone 4.0 上启用 AWS 集成后，每次都会创建带有前缀的新 S3 存储桶 `aws-controltower-cloudtrail` 
  +  数据位置变更：从先前共享的资源升级到专用资源的现有客户将在不同的 S3 存储桶中拥有 AWS Config AWS CloudTrail 数据。已建立的客户工作流程和工具可能需要更新才能从新的存储桶位置访问数据。
  +  AWS CloudTrail 将继续保留在相同的现有存储桶中，但 AWS Config 数据将存储在 AWS Control Tower 创建的新 S3 存储桶中。
  +  如果客户希望将不同的日志集中到单个存储桶中，则可以设置跨存储桶复制。有关更多信息，请参阅 [S3 文档](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html)。
  +  如果您在 AWS Config 集成账户中注册了未由 AWS Control Tower 创建的预先存在的 AWS Config 交付渠道的账户，请将交付渠道的 S3 存储桶名称更新为新 S3 存储桶，并在 AWS Config 集成账户`aws-controltower-config-logs-`中使用前缀，使其与着陆区 4.0 上的 AWS Control Tower 配置保持一致。有关更多详情，请参阅[注册拥有现有 AWS Config 资源的账户](existing-config-resources.md)。
+ AWS Config 在 land@@ **ing zone 版本 4.0 上 AWS Config 集成：**在启用集成的情况下迁移到着陆区 4.0 时，客户会看到以下变化- 

  1.  现有的审核账户已注册为的委托管理员 AWS Config。

  1.  服务关联的 Config Aggregator 部署到审计账户（新客户的AWS Config 中央聚合器账户和现有客户的审计账户）中。新的聚合器可以聚合组织中任何 AWS Config Recorder 的数据，包括非 Control Tower 托管账户。

  1.  现有的聚合器将被删除-管理账户 (`aws-controltower-ConfigAggregatorForOrganizations`) 中的组织聚合器和审核账户 () 中的账户聚合器将被删除。`aws-controltower-GuardRailsComplianceAggregator`

  1.  由于配置聚合器与服务相关，因此与已删除的聚合器关联的控件将自动移除。

     1. [不允许更改 AWS Control Tower 为 AWS Config 资源创建的标签](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)

     1. [不允许删除由 AWS Control Tower 创建的 AWS Config 聚合授权](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+  **新的`ConfigBaseline`基准：**OU 级别现在有单独`ConfigBaseline`的侦探控制支持，无需全面支持`AWSControlTowerBaseline`。有关更多信息，请参阅 [OU 级别的基准类型](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)列表。对于使用默认 landing zone 的现有客户，所有服务集成现在都是可选的，其中列出了依赖关系要求的注意事项。[关键变更](key-changes-lz-v4.md)
+  **服务关联的 Config Aggregator：**取代 AWS Config 中央聚合器账户中的组织和账户聚合器。
  +  在启用 AWS Config 集成的情况下升级到 landing zone 4.0 时，客户需要拥有`organizations:ListDelegatedAdministrators`权限 

    ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
          {
             "Effect": "Allow",
             "Action": [
               "backup:UpdateGlobalSettings",
               "controltower:CreateLandingZone",
               "controltower:UpdateLandingZone",
               "controltower:ResetLandingZone",
               "controltower:DeleteLandingZone",
               "controltower:GetLandingZoneOperation",
               "controltower:GetLandingZone",
               "controltower:ListLandingZones",
               "controltower:ListLandingZoneOperations",
               "controltower:ListTagsForResource",
               "controltower:TagResource",
               "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
             ],
             "Resource": "*"
          }
       ]
    }
    ```