本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 登陸區域 v4.0 遷移指南
<a name="landing-zone-v4-migration-guide"></a>

 AWS Control Tower 登陸區域 4.0 引入了登陸區域架構的主要大修，提供靈活的專用控制體驗和完全可選的服務整合。主要增強功能包括選擇性地啟用 AWS Config、AWS CloudTrail、SecurityRoles 和 AWS Backup 整合，以及 AWS Config 和 AWS CloudTrail 的專用資源，以改善隔離。

 版本會移除強制性的組織結構需求，讓客戶能夠定義自己的組織結構需求，同時引進新的`ConfigBaseline`偵測性控制支援，而不需要完整的 `AWSControlTowerBaseline`。服務連結的 Config 彙總工具會取代先前的彙總方法，簡化合規資料收集。

 此外，資訊清單欄位會變成選用，讓最少的登陸區域部署僅 AWS Organizations 專注於整合和控制啟用。這些變更提供更大的自訂選項，同時維持強大的控管功能，讓客戶更有效地根據其特定需求量身打造 AWS Control Tower。

**Topics**
+ [金鑰變更](key-changes-lz-v4.md)
+ [AWS Config 更新](config-updates-v4.md)

# 金鑰變更
<a name="key-changes-lz-v4"></a>

**注意**  
 「已註冊」和「已註冊」的定義已隨著 AWS Control Tower 的新版本而轉移。當您的帳戶/OU 已啟用任何 AWS Control Tower 資源時 （例如控制項或基準），它將被視為受管資源。定義將不再由`AWSControlTowerBaseline`基準的存在所驅動。
 服務連結角色會保留在所有登陸區域版本中，並且在 OUs 變成「未註冊」時不再刪除 
 只有在登陸區域解除委任後，客戶才能手動刪除服務連結角色 
+  **登陸區域 4.0 的先決條件：**透過 API 升級至 4.0 版時，請確定`AWSControlTowerCloudTrailRole`服務角色使用新的受管政策，`AWSControlTowerCloudTrailRolePolicy`而非現有的內嵌政策。分離目前的內嵌政策並連接新的受管政策，如 [文件](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy)所述。
+  **選用資訊清單：**登陸區域 API 中的資訊清單欄位現在為選用。客戶可以建立登陸區域，而不需要任何服務整合。對於已經使用資訊清單欄位的現有客戶沒有影響。
+  **選用的組織結構：**AWS Control Tower 不再強制執行或管理安全 OU 建立，讓客戶可以定義和管理自己的組織結構。不過，AWS Control Tower 會要求針對每個 AWS 服務整合設定的所有帳戶都位於相同的父 OU 下。對於已設定 AWS Control Tower 且具有安全 OU 的客戶，沒有影響。AWS Control Tower 會自動部署在 Security OU 中管理服務整合帳戶所需的資源和控制項。例如，啟用 AWS Config 整合時，會在所有服務整合帳戶中啟用 AWS Config 記錄。AWS Control Tower 基準和 AWS Config 基準不適用於安全 OU 和整合帳戶。若要變更服務整合，請更新登陸區域設定。
**注意**  
 AWS Control Tower 登陸區域 4.0 的組織結構設定已從先前的登陸區域版本變更。AWS Control Tower 將不再建立指定的安全 OU。具有服務整合帳戶的 OU 將是指定的安全 OU。
 如果成員帳戶移至每個整合帳戶所在的 OU，則無論開啟或關閉自動註冊，都會漂移在該 OU 上啟用的控制項。
+  **偏離通知：**AWS Control Tower 將在未`AWSControlTowerBaseline`啟用 的情況下，停止向登陸區域 4.0 的所有客戶傳送偏離通知至 SNS 主題，並改為開始將偏離通知傳送至管理帳戶中的 EventBridge。若要檢閱如何透過 EventBridge 接收偏離通知的範例事件和指引，請參閱[本指南](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)。
+  **選用的服務整合：**您現在可以啟用/停用所有 AWS Control Tower 整合 AWS Config，包括 AWS CloudTrail、SecurityRoles 和 AWS Backup。這些整合現在在 API 中也有選用的必要`enabled`旗標。可能適用於您的登陸區域或共用帳戶的基準現在彼此具有相依性。整合的特定相依性為：
  + 啟用：
    +  `CentralSecurityRolesBaseline` → `CentralConfigBaseline` 需要啟用 
    +  `IdentityCenterBaseline` → `CentralSecurityRolesBaseline` 需要啟用 
    +  `BackupCentralVaultBaseline` → `CentralSecurityRolesBaseline` 需要啟用 
    +  `BackupAdminBaseline` → `CentralSecurityRolesBaseline` 需要啟用 
    +  `LogArchiveBaseline` → 獨立 （無相依性） 
    +  `CentralConfigBaseline` → 獨立 （無相依性） 
  + 停用：
    +  `CentralConfigBaseline` 只有在先停用 `CentralSecurityRolesBaseline`、 `BackupAdminBaseline`和 `BackupCentralVaultBaseline`基準時`IdentityCenterBaseline`，才能停用。
    +  `CentralSecurityRolesBaseline` 只有在 `IdentityCenterBaseline`、 `BackupAdminBaseline`和 `BackupCentralVaultBaseline`基準先停用時，才能停用。
    +  `IdentityCenterBaseline` 可以獨立停用。
    +  `BackupAdminBaseline` 和 `BackupCentralVaultBaseline`基準可以獨立停用 
    +  `LogArchiveBaseline` 可以獨立停用 

# AWS Config 更新
<a name="config-updates-v4"></a>
+  ** AWS Config 和 AWS CloudTrail 的專用資源： ** AWS Config 和 AWS CloudTrail 現在使用單獨的專用 S3 儲存貯體和 SNS 主題，而不是共用資源。客戶在多個整合中使用單一或個別帳戶的彈性受到限制。
  +  升級到 AWS Control Tower 登陸區域 4.0 版時，不會移動現有的資料和 S3 儲存貯體。AWS CloudTrail 整合會繼續使用字首為 的現有 S3 儲存貯體`aws-controltower-logs`。更新操作後的新 AWS Config 資料將存放在新的 S3 儲存貯體中`aws-controltower-config`，並加上 AWS Control Tower 在為 CentralConfigBaseline 指定的帳戶中建立的字首。
**注意**  
 第一次在登陸區域 4.0 上啟用 AWS CloudTrail 整合時，每次都會使用字首建立新的 S3 儲存貯體 `aws-controltower-cloudtrail` 
  +  資料位置變更：從先前共用的現有客戶升級至專用資源時，會在不同的 S3 儲存貯體中擁有 AWS Config 和 AWS CloudTrail 資料。建立的客戶工作流程和工具可能需要更新，才能從新的儲存貯體位置存取資料。
  +  AWS CloudTrail 將繼續保留在相同的現有儲存貯體中，但 AWS Config 資料將保留在 AWS Control Tower 建立的新 S3 儲存貯體中。
  +  如果客戶想要將不同的日誌集中到單一儲存貯體，則可以設定跨儲存貯體複寫。如需詳細資訊，請參閱 [ S3 文件](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html)。
  +  如果您已在 AWS Config Control Tower 管理的區域中使用 AWS Control Tower 未建立的預先存在 AWS Config 交付通道註冊帳戶，請將交付通道的 S3 儲存貯體名稱更新為 AWS Config 整合帳戶中具有字首的新 S3 儲存貯`aws-controltower-config-logs-`體，以符合登陸區域 4.0 上的 AWS Control Tower 組態。如需詳細資訊，請參閱[註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)。
+  **AWS Config 登陸區域 4.0 版上的整合：**在啟用 AWS Config 整合的情況下遷移至登陸區域 4.0 時，客戶會看到下列變更 - 

  1.  現有的 Audit 帳戶會註冊為 的委派管理員 AWS Config。

  1.  服務連結 Config 彙整工具會部署到 Audit 帳戶 （新客戶的AWS Config 中央彙整工具帳戶和現有客戶的 Audit 帳戶）。新的彙總工具可以從組織中的任何 AWS Config 記錄器彙總資料，包括非 Control Tower 受管帳戶。

  1.  現有的彙總工具將被刪除 - 管理帳戶 (`aws-controltower-ConfigAggregatorForOrganizations`) 中的組織彙總器和稽核帳戶 (`aws-controltower-GuardRailsComplianceAggregator`) 中的帳戶彙總器將被刪除。

  1.  由於組態彙總工具是服務連結，因此與已刪除彙總工具相關聯的控制項會自動移除。

     1. [不允許變更 AWS Control Tower for AWS Config 資源建立的標籤](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)

     1. [不允許刪除 AWS Control Tower 建立的 AWS Config 彙總授權](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+  **新的`ConfigBaseline`基準：**OU `ConfigBaseline` 層級現在有一個單獨的偵測控制支援，而不需要全面的 `AWSControlTowerBaseline`。如需詳細資訊，請參閱 [OU 層級的基準類型](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)清單。對於使用預設登陸區域的現有客戶，所有服務整合現在都是選用的，並具有 中概述的相依性要求警告[金鑰變更](key-changes-lz-v4.md)。
+  **服務連結組態彙總工具：**取代 AWS Config 中央彙總工具帳戶中的組織和帳戶彙總工具。
  +  在啟用 AWS Config 整合的情況下升級至登陸區域 4.0 時，客戶需要具有 `organizations:ListDelegatedAdministrators` 許可 

    ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
          {
             "Effect": "Allow",
             "Action": [
               "backup:UpdateGlobalSettings",
               "controltower:CreateLandingZone",
               "controltower:UpdateLandingZone",
               "controltower:ResetLandingZone",
               "controltower:DeleteLandingZone",
               "controltower:GetLandingZoneOperation",
               "controltower:GetLandingZone",
               "controltower:ListLandingZones",
               "controltower:ListLandingZoneOperations",
               "controltower:ListTagsForResource",
               "controltower:TagResource",
               "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
             ],
             "Resource": "*"
          }
       ]
    }
    ```