本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Config 更新 + ** AWS Config 和 AWS CloudTrail 的專用資源: ** AWS Config 和 AWS CloudTrail 現在使用單獨的專用 S3 儲存貯體和 SNS 主題,而不是共用資源。客戶在多個整合中使用單一或個別帳戶的彈性受到限制。 + 升級到 AWS Control Tower 登陸區域 4.0 版時,不會移動現有的資料和 S3 儲存貯體。AWS CloudTrail 整合會繼續使用字首為 的現有 S3 儲存貯體`aws-controltower-logs`。更新操作後的新 AWS Config 資料將存放在新的 S3 儲存貯體中,其字首`aws-controltower-config`為 AWS Control Tower 在為 CentralConfigBaseline 指定的帳戶中建立。 **注意** 第一次在登陸區域 4.0 上啟用 AWS CloudTrail 整合時,每次都會使用字首建立新的 S3 儲存貯體 `aws-controltower-cloudtrail` + 資料位置變更:從先前共用的現有客戶升級至專用資源時,會在不同的 S3 儲存貯體中擁有 AWS Config 和 AWS CloudTrail 資料。建立的客戶工作流程和工具可能需要更新,才能從新的儲存貯體位置存取資料。 + AWS CloudTrail 將繼續保留在相同的現有儲存貯體中,但 AWS Config 資料將保留在 AWS Control Tower 建立的新 S3 儲存貯體中。 + 如果客戶想要將不同的日誌集中到單一儲存貯體,則可以設定跨儲存貯體複寫。如需詳細資訊,請參閱 [ S3 文件](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html)。 + 如果您已在 AWS Control Tower 管理的區域中使用 AWS Control Tower 未建立的既有 AWS Config 交付通道註冊帳戶,請將交付通道的 S3 儲存貯體名稱更新為 AWS Config 整合帳戶中具有字首的新 S3 儲存貯`aws-controltower-config-logs-`體,以符合登陸區域 4.0 上的 AWS Control Tower 組態。如需詳細資訊,請參閱[註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)。 + **AWS Config 登陸區域 4.0 版上的整合:**在啟用 AWS Config 整合的情況下遷移至登陸區域 4.0 時,客戶會看到下列變更 - 1. 現有的 Audit 帳戶會註冊為 的委派管理員 AWS Config。 1. 服務連結的 Config 彙整工具會部署到 Audit 帳戶 (新客戶的AWS Config 中央彙整工具帳戶和現有客戶的 Audit 帳戶)。新的彙總工具可以從組織中的任何 AWS Config 記錄器彙總資料,包括非 Control Tower 受管帳戶。 1. 現有的彙總工具將被刪除 - 管理帳戶 (`aws-controltower-ConfigAggregatorForOrganizations`) 中的組織彙總器和稽核帳戶 (`aws-controltower-GuardRailsComplianceAggregator`) 中的帳戶彙總器將被刪除。 1. 由於組態彙總器是服務連結,因此與已刪除彙總器相關聯的控制項會自動移除。 1. [不允許對 AWS Control Tower for AWS Config 資源建立的標籤進行變更](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes) 1. [不允許刪除 AWS Control Tower 建立的 AWS Config 彙總授權](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) + **新的`ConfigBaseline`基準:**OU `ConfigBaseline` 層級現在有一個單獨的偵測控制支援,而不需要全面的 `AWSControlTowerBaseline`。如需詳細資訊,請參閱 [OU 層級的基準類型](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)清單。對於使用預設登陸區域的現有客戶,所有服務整合現在都是選用的,並具有 中概述的相依性需求警告[金鑰變更](key-changes-lz-v4.md)。 + **服務連結組態彙總工具:**取代 AWS Config 中央彙總工具帳戶中的組織和帳戶彙總工具。 + 在啟用 AWS Config 整合的情況下升級至登陸區域 4.0 時,客戶需要擁有 `organizations:ListDelegatedAdministrators` 許可 ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] } ``` **重要** 升級到登陸區域 4.0 版並啟用 AWS Config 整合之後,您必須完成啟用程序。在您要部署 AWS Config 資源的所有 OUs `ConfigBaseline`上更新或啟用 。在完成此程序之前, AWS Config 您的彙整工具將不會從記錄器接收資料。每個帳戶都會繼續記錄和存放資料。完成更新 後`ConfigBaseline`,記錄的資料會自動回填至彙總工具。 我們建議您在啟用 AWS Config 整合後`ConfigBaseline`盡快重新註冊 OUs或啟用 。登陸區域更新會從先前的 S3 儲存貯體政策中移除 AWS Config 交付許可,但只有在您完成重新註冊後,才會將交付通道重新導向至新的儲存貯體。在此之前,組態快照和組態歷史記錄不會交付至 S3。 如果重新註冊延遲,重新註冊完成後,某些資料可能無法交付至 S3。您可以使用 `config:GetResourceConfigHistory` API 擷取在設定的保留期間內記錄的所有資料。