本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 登陸區域更新的最佳實務 當您考慮在 AWS Control Tower 中升級登陸區域版本時,本節提供一些考量和最佳實務。從 2.0 登陸區域版本系列變更為 3.0 登陸區域版本系列尤其重要。升級登陸區域時,AWS Control Tower 會自動將您移至最新的可用版本。 **注意** 最佳實務是更新至最新版本的登陸區域。 **本節中說明的最佳實務摘要** + **最佳實務:**基於安全和稽核原因,強烈建議您為所有帳戶啟用整個電路板的記錄,並將記錄資訊傳送至集中位置。在 AWS Control Tower 中,此集中位置是**日誌封存**帳戶,可提供 Amazon S3 記錄儲存貯體。 + **最佳實務:**如果您選擇退出 AWS Control Tower 中的組織層級 CloudTrail 追蹤,請設定和管理您自己的追蹤。 + **最佳實務:**操作 AWS Control Tower 環境時,請設定測試環境。 **從 2.x 登陸區域版本移至 3.x 登陸區域版本的優勢** + 僅在主區域中記錄 AWS Config 資源,這可在您管理全域資源時節省成本 + 使用您自己的 KMS 金鑰加密您的 AWS CloudTrail 線索 + 自訂您的日誌保留時間範圍 + 增強型強制性控制 + 可用的控制項數量增加 + 與 整合 AWS Security Hub CSPM + Python 執行期更新 **從 2.x 登陸區域版本移至 3.x 登陸區域版本的注意事項** + 在登陸區域 3.0 及更新版本中,AWS Control Tower 不再支援 AWS 管理的帳戶層級 AWS CloudTrail 追蹤。 + 您可以選擇由 AWS Control Tower 管理的組織層級追蹤,或選擇退出它並管理您自己的 CloudTrail 追蹤。 + 有些潛在的雙成本存在,特別是如果 OU 中的某些帳戶未註冊 AWS Control Tower,並且有自己想要保留的帳戶層級追蹤。 **選擇組織層級 CloudTrail 追蹤的考量** + 當您升級至 3.0 或更新版本時,AWS Control Tower 會在 24 小時後刪除其最初建立的帳戶層級追蹤。[【例外狀況】](https://docs.aws.amazon.com//controltower/latest/userguide/retain-account-trails.html) + 不會遺失來自這些線索的資料。即使移除線索,您現有的日誌也會保留。 + AWS Control Tower 會在追蹤的相同 Amazon S3 儲存貯體中建立新的路徑,以區分帳戶層級追蹤與組織層級追蹤。 + 帳戶追蹤日誌路徑的格式如下: `/orgId/AWSLogs/...` + 組織追蹤日誌路徑的格式如下: `/orgId/AWSLogs/orgId/...` + 您已部署的其他 CloudTrail 線索,AWS Control Tower 未部署的線索不會碰觸到。 + 如果未註冊的帳戶是已註冊 OU 的一部分,則所有帳戶都會包含在組織層級追蹤中,包括未在 AWS Control Tower 註冊的帳戶。 + 連結帳戶中的 Amazon CloudWatch 警示不會觸發。 + 如果您選擇退出組織層級追蹤,AWS Control Tower 仍會建立追蹤,但將其狀態設定為**關閉**。 + 最佳實務是,如果您選擇退出 AWS Control Tower 中的組織層級追蹤,您應該設定和管理自己的 CloudTrail 追蹤, **組織層級追蹤的優勢** + 組織追蹤適用於 OU 中的所有帳戶。 + 記錄的項目是標準化的,帳戶使用者無法修改。 **考慮測試環境** 升級登陸區域時,AWS Control Tower 只會對共用帳戶和基礎 OU 進行變更。它不會對工作負載帳戶或 OUs 進行變更。*不過,根據最佳實務,在操作 AWS Control Tower 環境時,建議您設定測試環境。*在隔離的測試環境中,您可以測試 AWS Control Tower 登陸區域升級,以及您對服務控制政策 (SCPs) 所做的任何變更,也可以測試您想要套用至環境的控制。如果您在受管制的產業中操作,此建議特別有用。 **更新時常見錯誤的檢查清單** 以下是您可以執行的簡短任務清單,以避免將 AWS Control Tower 登陸區域從 2.x 版本更新為 3.x 版本時發生常見錯誤。 **基本更新檢查清單** + 檢查您的登陸區域: – 前往 AWS Control Tower 服務,檢閱**組織單位**和**帳戶**頁面,然後確認您的帳戶狀態設定為**已註冊**和**已註冊**。 – 如適用,請驗證並確認自訂管道的上次執行是否成功。 – 檢查**稽核**帳戶中的 Amazon S3 集中式記錄儲存貯體,因為先前對儲存貯體政策所做的任何變更都會遭到覆寫。 + 驗證 AWS Control Tower 未擁有的任何 SCPs 不會限制`AWSControlTowerExecution`角色在成員帳戶中執行動作,或在管理帳戶中對執行更新的管理角色執行動作。