Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pencegahan dan pemberitahuan drift
Anda dapat mengaktifkan kontrol tertentu dan berlangganan notifikasi SNS tertentu yang membantu Anda menjaga kepatuhan di AWS Control Tower.
Perlindungan pemantauan drift
AWS Control Tower menyediakan metode pasif dan aktif perlindungan pemantauan drift untuk kontrol preventif.
-
Perlindungan pasif: AWS Organizations monitor dan log preventif control (SCP) drift.
-
Perlindungan aktif: Layanan pemantauan drift AWS Control Tower secara aktif memindai SCP kontrol preventif, secara teratur.
AWS Control Tower memberi tahu Anda melalui pesan SNS, jika drift terdeteksi.
Pencegahan drift
Beberapa kontrol mencegah modifikasi mekanisme pelaporan kepatuhan.
-
Larang Perubahan yang Aturan AWS Config Diatur oleh AWS Control Tower(Wajib, kontrol preventif)
-
Larang Penghapusan Otorisasi Agregasi AWS Config yang Dibuat oleh AWS Control Tower(Wajib, kontrol preventif)
-
Larang Perubahan pada Tag yang Dibuat oleh AWS Control Tower untuk Sumber Daya AWS Config(Wajib, kontrol preventif)
-
Larang Perubahan Konfigurasi AWS Config(Wajib, kontrol preventif)
Berbeda dengan kontrol preventif, kontrol detektif memberi tahu Anda tentang sumber daya yang melanggar aturan Config AWS terkait.
Untuk menerima pemberitahuan SNS tentang drift dan kepatuhan kontrol
Untuk informasi tentang cara menerima pemberitahuan kepatuhan drift dan kontrol yang sesuai oleh Amazon SNS, lihat. Pemberitahuan kepatuhan oleh SNS di akun audit
Penerbit dan pelanggan untuk topik SNS
aws-controltower-AllConfigNotificationsTopiknya:
-
Sumber
AWS::Config::DeliveryChanneldaya dikonfigurasi untuk mengirim pemberitahuan tentang perubahan konfigurasi ke topik ini. -
Jenis notifikasi yang mungkin AWS Config dapat dikirim ditentukan di bagian Topik Amazon SNS pada AWS Config dokumentasi.
-
AWS::CloudTrail::TrailSumber daya dikonfigurasi untuk mengirim pemberitahuan pengiriman file log ke topik ini. -
Anda dapat berlangganan topik ini.
aws-controltower-SecurityNotificationsTopiknya:
-
AWS::Events::RuleSumber daya dikonfigurasi untuk mengirim pemberitahuan tentang perubahan kepatuhan AWS Config Aturan (salah satu jenis pemberitahuan SNS) ke topik ini. -
Fungsi
aws-controltower-NotificationForwarderLambda berlangganan topik ini, dan meneruskan notifikasi SNS ke topik tersebut.aws-controltower-AggregateSecurityNotifications
aws-controltower-AggregateSecurityNotificationsTopiknya:
-
Topik ini menerima pemberitahuan dari
aws-controltower-SecurityNotifications, diteruskan oleh fungsi Lambda. -
Ini juga menerima pemberitahuan drift di Wilayah asal.
-
Saat AWS Control Tower membuat topik, langganan ditambahkan untuk alamat email akun audit, dan Anda harus mengonfirmasi langganan.
catatan
Titik akhir, seperti alamat email, harus mengonfirmasi setiap langganan, SNS tidak mengirim pesan ke titik akhir hingga langganan dikonfirmasi.
