Funktionsoptionen aktivieren - AWS Control Tower
AWS CloudTrail DatenereignisseAWS Support-Plan für Unternehmen Löschen Sie die AWS Standard-VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsoptionen aktivieren

AFT bietet Funktionsoptionen, die auf bewährten Verfahren basieren. Sie können sich während der AFT-Bereitstellung mithilfe von Feature-Flags für diese Funktionen entscheiden. Stellen Sie ein neues Konto bei AFT bereitWeitere Informationen zu den AFT-Eingangskonfigurationsparametern finden Sie unter.

Diese Funktionen sind standardmäßig nicht aktiviert. Sie müssen jede Funktion in Ihrer Umgebung explizit aktivieren.

AWS CloudTrail Datenereignisse

Wenn diese Option aktiviert ist, konfiguriert die Option AWS CloudTrail Datenereignisse diese Funktionen.

  • Erstellt einen Organization Trail im AWS Control Tower Tower-Managementkonto, für CloudTrail

  • Aktiviert die Protokollierung für Amazon S3- und Lambda-Datenereignisse

  • Verschlüsselt und exportiert alle CloudTrail Datenereignisse mit AWS KMS Verschlüsselung in einen aws-aft-logs-* S3-Bucket im AWS Control Tower Log Archive-Konto

  • Aktiviert die Einstellung zur Überprüfung der Protokolldatei

Um diese Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf True.

aft_feature_cloudtrail_data_events

Voraussetzung

Bevor Sie diese Funktionsoption aktivieren, stellen Sie sicher, dass der vertrauenswürdige Zugriff für in Ihrer Organisation aktiviert AWS CloudTrail ist.

So überprüfen Sie den Status des vertrauenswürdigen Zugriffs für CloudTrail :

  1. Navigieren Sie zur AWS Organizations Konsole.

  2. Wählen Sie Dienste > CloudTrail.

  3. Wählen Sie dann bei Bedarf oben rechts die Option Vertrauenswürdigen Zugriff aktivieren aus.

Möglicherweise erhalten Sie eine Warnmeldung, in der Sie aufgefordert werden, die AWS CloudTrail Konsole zu verwenden. In diesem Fall sollten Sie die Warnung jedoch ignorieren. AFT erstellt den Trail im Rahmen der Aktivierung dieser Funktionsoption, nachdem Sie den vertrauenswürdigen Zugriff zugelassen haben. Wenn der vertrauenswürdige Zugriff nicht aktiviert ist, erhalten Sie eine Fehlermeldung, wenn AFT versucht, Ihren Trail für Datenereignisse zu erstellen.

Anmerkung

Diese Einstellung funktioniert auf Organisationsebene. Die Aktivierung dieser Einstellung wirkt sich auf alle Konten in aus AWS Organizations, unabhängig davon, ob sie von AFT verwaltet werden oder nicht. Alle Buckets im AWS Control Tower Log Archive-Konto zum Zeitpunkt der Aktivierung sind von Amazon S3 S3-Datenereignissen ausgeschlossen. Weitere Informationen zu finden Sie im AWS CloudTrail Benutzerhandbuch. CloudTrail

AWS Support-Plan für Unternehmen

Wenn diese Option aktiviert ist, aktiviert die AFT-Pipeline den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten.

AWS Bei Konten ist standardmäßig der AWS Basic Support-Plan aktiviert. AFT bietet für Konten, die von AFT bereitgestellt werden, eine automatische Registrierung für die Enterprise-Support-Stufe. Der Bereitstellungsprozess öffnet ein Support-Ticket für das Konto und fordert auf, es zum AWS Enterprise Support-Plan hinzuzufügen.

Um die Enterprise Support-Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf True.

aft_feature_enterprise_support=false

Weitere Informationen zu AWS Supportplänen finden Sie unter AWS Supportpläne vergleichen.

Anmerkung

Damit diese Funktion funktionieren kann, müssen Sie das Zahlerkonto für den Enterprise Support-Plan registrieren.

Löschen Sie die AWS Standard-VPC

Wenn Sie diese Option aktivieren, löscht AFT alle AWS Standardeinstellungen VPCs im AFT-Verwaltungskonto und alle AWS-Regionen, auch wenn dort keine AWS Control Tower Tower-Ressourcen bereitgestellt wurden. AWS-Regionen

AFT löscht AWS standardmäßig nicht VPCs automatisch für alle von AFT bereitgestellten AWS Control Tower-Konten oder für bestehende AWS Konten, die Sie über AFT bei AWS Control Tower registrieren.

Neue AWS Konten werden standardmäßig mit jeweils AWS-Region einer VPC erstellt. In Ihrem Unternehmen gibt es möglicherweise Standardverfahren für die Erstellung VPCs, bei denen Sie die AWS Standard-VPC löschen und vermeiden müssen, sie zu aktivieren, insbesondere für das AFT-Verwaltungskonto.

Um diese Option zu aktivieren, setzen Sie in der Eingabekonfiguration für die AFT-Bereitstellung das folgende Feature-Flag auf True.

aft_feature_delete_default_vpcs_enabled

Im Folgenden finden Sie ein Beispiel für eine Eingabekonfiguration für die AFT-Bereitstellung.

module "aft" {
  source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
  ct_management_account_id    = var.ct_management_account_id
  log_archive_account_id      = var.log_archive_account_id
  audit_account_id            = var.audit_account_id
  aft_management_account_id   = var.aft_management_account_id
  ct_home_region              = var.ct_home_region
  tf_backend_secondary_region = var.tf_backend_secondary_region

  vcs_provider                                  = "github"
  account_request_repo_name                     = "${var.github_username}/learn-terraform-aft-account-request"
  account_provisioning_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-provisioning-customizations"
  global_customizations_repo_name               = "${var.github_username}/learn-terraform-aft-global-customizations"
  account_customizations_repo_name              = "${var.github_username}/learn-terraform-aft-account-customizations"

  # Optional Feature Flags
  aft_feature_delete_default_vpcs_enabled = true
  aft_feature_cloudtrail_data_events      = false
  aft_feature_enterprise_support          = false
}

Weitere Informationen zu Standard finden Sie unter Standard-VPC und Standard-Subnetze. VPCs