Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Bewährte Methoden für Landezonenupdates

PDF
RSS
Fokusmodus
Bewährte Methoden für Landezonenupdates - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In diesem Abschnitt finden Sie einige Überlegungen und bewährte Methoden, die Sie berücksichtigen sollten, wenn Sie ein Upgrade Ihrer landing zone Zone-Version in AWS Control Tower in Betracht ziehen. Der Wechsel von der Landezone-Versionsserie 2.0 zur Landezone-Versionsserie 3.0 ist besonders wichtig. Wenn Sie Ihre landing zone aktualisieren, werden Sie von AWS Control Tower automatisch auf die neueste verfügbare Version umgestellt.

Anmerkung

Es hat sich bewährt, auf die neueste Version der landing zone zu aktualisieren.

Zusammenfassung der in diesem Abschnitt erläuterten bewährten Verfahren

  • Bewährtes Verfahren: Aus Sicherheits- und Auditgründen empfehlen wir dringend, die Protokollierung generell für alle Konten zu aktivieren und die Protokollierungsinformationen an einen zentralen Ort zu senden. In AWS Control Tower ist dieser zentrale Ort das Log-Archive-Konto, das einen Amazon S3 S3-Logging-Bucket bereitstellt.

  • Bewährtes Verfahren: Wenn Sie den CloudTrail Trail auf Organisationsebene in AWS Control Tower deaktivieren, richten Sie Ihre eigenen Trails ein und verwalten Sie sie.

  • Bewährtes Verfahren: Richten Sie beim Betrieb Ihrer AWS Control Tower Tower-Umgebung eine Testumgebung ein.

Vorteile der Umstellung von 2.x-Landingzone-Versionen auf 3.x-Landezone-Versionen

  • Erfassen Sie AWS Config Ressourcen nur in der Heimatregion, was zu Kosteneinsparungen bei der Verwaltung globaler Ressourcen führt

  • Verschlüsseln Sie Ihren AWS CloudTrail Trail mit Ihrem eigenen KMS-Schlüssel

  • Passen Sie Ihren Zeitrahmen für die Aufbewahrung von Protokollen an

  • Verbesserte obligatorische Kontrollen

  • Höhere Anzahl verfügbarer Kontrollen

  • Integriert mit AWS Security Hub

  • Python-Laufzeitaktualisierungen

Vorbehalte beim Wechsel von 2.x-Landingzone-Versionen zu 3.x-Landingzone-Versionen

  • Mit landing zone 3.0 und höher unterstützt AWS Control Tower keine verwalteten AWS CloudTrail Trails auf Kontoebene mehr. AWS

  • Sie haben die Möglichkeit, einen von AWS Control Tower verwalteten Trail auf Organisationsebene zu wählen oder ihn zu deaktivieren und Ihre eigenen CloudTrail Trails zu verwalten.

  • Es besteht ein gewisses Potenzial für doppelte Kosten, insbesondere wenn einige Konten innerhalb einer Organisationseinheit nicht bei AWS Control Tower registriert sind und eigene Trails auf Kontoebene haben, die Sie behalten möchten.

Überlegungen zur Auswahl von Trails auf Organisationsebene CloudTrail

  • Wenn Sie ein Upgrade auf 3.0 oder höher durchführen, löscht AWS Control Tower die ursprünglich erstellten Trails auf Kontoebene nach 24 Stunden. [Ausnahme]

  • Es gehen keine Daten von diesen Spuren verloren. Ihre vorhandenen Protokolle bleiben erhalten, auch wenn die Spuren entfernt werden.

  • AWS Control Tower erstellt in demselben Amazon S3 S3-Bucket einen neuen Pfad für die Trails, um Trails auf Kontoebene von Trails auf Organisationsebene zu unterscheiden.

    • Ein Protokollpfad für Konto-Trails hat die folgende Form: /orgId/AWSLogs/...

    • Ein Protokollpfad für ein Unternehmen hat die folgende Form: /orgId/AWSLogs/orgId/...

  • Zusätzliche CloudTrail Trails, die Sie bereitgestellt haben, Trails, die nicht von AWS Control Tower bereitgestellt wurden, werden nicht berührt.

  • Alle Konten sind im Trail auf Organisationsebene enthalten — auch Konten, die nicht im AWS Control Tower registriert sind —, wenn die nicht registrierten Konten Teil einer registrierten Organisationseinheit sind.

  • CloudWatch Amazon-Alarme in verknüpften Konten werden nicht ausgelöst.

  • Wenn Sie sich von einem Trail auf Organisationsebene abmelden, erstellt AWS Control Tower den Trail trotzdem, setzt seinen Status jedoch auf Aus.

  • Als bewährte Methode sollten Sie, wenn Sie den Trail auf Organisationsebene in AWS Control Tower deaktivieren, Ihre eigenen CloudTrail Trails einrichten und verwalten.

Vorteile von Trails auf Organisationsebene

  • Der Organisationspfad funktioniert für alle Konten in der Organisationseinheit.

  • Die protokollierten Elemente sind standardisiert und können von Kontobenutzern nicht geändert werden.

Stellen Sie sich eine Testumgebung vor

Wenn Sie Ihre landing zone aktualisieren, nimmt AWS Control Tower nur Änderungen an den gemeinsamen Konten und der Foundational OU vor. Es werden keine Änderungen an Ihren Workload-Konten vorgenommen oder OUs. Als bewährte Methode empfehlen wir Ihnen jedoch, beim Betrieb Ihrer AWS Control Tower Tower-Umgebung eine Testumgebung einzurichten. In der isolierten Testumgebung können Sie die landing zone Zone-Upgrades von AWS Control Tower sowie alle Änderungen testen, die Sie an den Richtlinien zur Servicekontrolle (SCPs) vornehmen, und Sie können die Kontrollen testen, die Sie auf die Umgebung anwenden möchten. Diese Empfehlung ist besonders hilfreich, wenn Sie in einer regulierten Branche tätig sind.

Checkliste für häufig auftretende Fehler bei der Aktualisierung

Im Folgenden finden Sie eine kurze Liste von Aufgaben, die Sie ausführen können, um häufige Fehler bei der Aktualisierung Ihrer AWS Control Tower Tower-Landing landing zone von 2.x-Versionen auf 3.x-Versionen zu vermeiden.

Grundlegende Checkliste für Updates

  • Überprüfe deine landing zone:

    — Rufen Sie den AWS Control Tower Tower-Service auf, überprüfen Sie die Seiten Organisationseinheiten und Konten und vergewissern Sie sich, dass Ihr Kontostatus auf Registriert und registriert gesetzt ist.

    — Falls zutreffend, überprüfen und bestätigen Sie, dass der letzte Durchlauf Ihrer Anpassungspipeline erfolgreich war.

    — Überprüfen Sie den zentralen Amazon S3 S3-Logging-Bucket im Audit-Konto, da alle zuvor an der Bucket-Richtlinie vorgenommenen Änderungen überschrieben werden.

  • Stellen Sie sicher SCPs , dass Personen, die nicht dem AWS Control Tower gehören, die AWSControlTowerExecution Rolle nicht daran hindern, Aktionen in Mitgliedskonten oder Aktionen im Verwaltungskonto für die Administratorrolle auszuführen, die das Update durchführt.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.