Gerenciamento de atualizações de configuração na AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de atualizações de configuração na AWS Control Tower

É responsabilidade dos membros da equipe de administradores da nuvem central manter a landing zone atualizada. Atualizar a landing zone garante que a AWS Control Tower esteja corrigida e atualizada. Além disso, para proteger a zona de destino de possíveis problemas de conformidade, os membros da equipe de administradores da nuvem central devem resolver problemas de oscilações assim que eles forem detectados e relatados.

nota

O console da AWS Control Tower indica quando a landing zone precisa ser atualizada. Se você não vir uma opção para atualizar, a landing zone já estará atualizada.

A tabela a seguir contém uma lista de versões de atualização da landing zone AWS Control Tower, com links para descrições de cada versão.

Versão Data de lançamento Descrição

2.9

22/11/11/11/2014

Versão 2.9 da zona de destino

2,8

2-10-2022

Versão 2.8 da zona de destino

2.7

4-8-2021

Versão 2.7 da zona de destino

2.6

29-12-2020

Zona de pouso versão 2.6

2,5

11/11/11/2020

Versão 2.5 da zona de destino

2.4

Nenhum

Nenhum

2.3

3-5-2020

Versão 2.3 da zona de destino

2.2

13/11/11/

Versão 2.2 da zona de destino

2.1

24-6-19

Versão 2.1 da zona de destino

Cada vez que você atualiza sua landing zone, você tem a oportunidade de modificar suas configurações de landing zone.

Benefícios da atualização

  • É possível alterar as regiões controladas

  • É possível adicionar ou remover o guarda-corpo de negação

  • Você pode se inscreverAWSChaves de criptografia do

  • Você pode resolverdesvio da landing zone

Ao atualizar sua landing zone, você recebe automaticamente os recursos mais recentes da AWS Control Tower.

Sobre atualizações

Atualizações são necessárias para corrigir a oscilação de governança ou para mudar para uma nova versão do AWS Control Tower. Para executar uma atualização completa da AWS Control Tower, é necessário atualizar primeiro a landing zone e atualizar individualmente as contas registradas. Talvez seja necessário executar três tipos de atualizações em momentos diferentes.

  • Uma atualização da landing zone: Na maioria das vezes, esse tipo de atualização é realizado escolhendoAtualizaçãonoConfigurações da zona de pouso. Talvez seja necessário executar uma atualização da zona de destino para reparar determinados tipos de oscilação, e é possível escolher Repair (Reparar) quando necessário.

  • Uma atualização de uma ou mais contas individuais: É necessário atualizar contas se as informações associadas forem alteradas ou se ocorrerem determinados tipos de oscilação. Se uma conta exigir uma atualização, o status da conta será exibidoAtualização disponívelnoContas.

    Para atualizar uma única conta, navegue até a página de detalhes da conta e selecioneAtualizar conta. As contas também podem ser atualizadas por um processo manual, escolhendoRegistrar novamente OU, ou com uma abordagem de script automatizada, descrita em uma seção posterior desta página.

  • Uma atualização completa: Uma atualização completa inclui uma atualização da sua landing zone, seguida de uma atualização de todas as contas registradas na sua UO registrada. Atualizações completas são necessárias com uma nova versão do AWS Control Tower, como 2.8, 2.9 e assim por diante.

Atualizar sua zona de destino

A maneira mais fácil de atualizar a landing zone AWS Control Tower é pelaConfigurações da zona de pousopágina, que você pode acessar escolhendoConfigurações da zona de pousona navegação à esquerda do painel da AWS Control Tower.

OConfigurações da zona de pousomostra a versão atual da zona de destino e lista as versões atualizadas que podem estar disponíveis. É possível escolher o botão Update (Atualizar) se precisar atualizar a versão.

nota

Como alternativa, é possível atualizar a zona de destino manualmente. A atualização leva aproximadamente a mesma quantidade de tempo, se você usar o botão Update (Atualizar) ou o processo manual. Para executar uma atualização manual somente da zona de destino, consulte as etapas 1 e 2 a seguir.

Atualizações manuais

O procedimento a seguir orienta você pelas etapas de uma atualização completa para o AWS Control Tower manualmente. Para atualizar uma conta individual, consulteAtualizar a conta no console do.

Para atualizar sua landing zone manualmente, com qualquer número de contas por UO

  1. Abra um navegador da Web e navegue até o console da AWS Control Tower emhttps://console.aws.amazon.com/controltower/home/update.

  2. Examine as informações no assistente e escolha Update (Atualizar). Isso atualiza o back-end da landing zone, bem como as contas compartilhadas. Esse processo pode demorar pouco mais de meia hora.

  3. Atualize suas contas de membro (esse procedimento deve ser seguido para uma OU que contenha mais de 300 contas).

  4. No painel de navegação à esquerda, escolhaOrganização.

  5. Para atualizar cada conta, siga as etapas fornecidas emAtualizar a conta no console do.

Opcionalmente, registre novamente a OU para atualizar contas

Para OUs registradas da AWS Control Tower com menos de 300 contas, você pode acessar oPágina da UOno painel e selecioneRegistrar novamente OUpara atualizar as contas nessa OU.

Resolver desvios com Reparar e Registrar novamente

A oscilação geralmente ocorre quando você e os membros da organização usam a landing zone.

A detecção de oscilações é automática no AWS Control Tower. Varreduras automatizadas de seus SCPs ajudam você a identificar recursos que precisam de alterações ou atualizações de configuração que devem ser feitas para resolver a oscilação.

Para reparar a maioria dos tipos de oscilação, escolhaReparonoConfigurações da zona de pouso. Além disso, você pode reparar alguns tipos de desvio escolhendoRegistrar-se novamenteuma UO. Para obter mais informações sobre os tipos de oscilação e como resolvê-los, consulteTipos de oscilação de governançaeDetecte e resolva desvios na AWS Control Tower.

nota

Quando você repara sua landing zone, a landing zone é atualizada para a versão mais recente da landing zone.

Provisionamento e atualização de contas usando automação de script

Você pode provisionar ou atualizar contas individuais usando oEstrutura da APIdoAWS Service CatalogO e aAWS CLIpara atualizar as contas em um processo em lote. Você chamaria oUpdateProvisionedProductAPI deAWS Service Catalogpara cada conta. Você pode escrever um script para atualizar as contas, uma por uma, com esta API. Mais informações sobre essa abordagem, ao adicionar Regiões para governança, estão disponíveis em uma publicação do blog,Habilitando grades de proteção em novosAWSRegiões da.

Você deve aguardar o êxito de cada atualização antes de iniciar a próxima atualização de conta. Portanto, o processo pode demorar bastante se você tiver muitas contas, mas não é complicado. Para obter mais informações sobre essa abordagem, consulte Passo a passo do Automatize o provisionamento de contas na AWS Control Tower aoAWS Service CatalogAPIs.

nota

OPasso a passo em vídeoO é projetado para o provisionamento automatizado de conta, mas as etapas também se aplicam à atualização da conta. Usar aUpdateProvisionedProductAPI em vez daProvisionProductAPI.

Uma etapa adicional da automação é verificarSucceedstatus da AWS Control TowerUpdateLandingZoneevento do ciclo de vida Use-o como um gatilho para começar a atualizar contas individuais, conforme descrito no vídeo. Um evento de ciclo de vida marca a conclusão de uma sequência de atividades, portanto, a ocorrência desse evento significa que uma atualização landing zone está concluída. A atualização da zona de destino deve ser concluída antes que as atualizações da conta sejam iniciadas. Para obter mais informações sobre como trabalhar com eventos de ciclo de vida, consulte Eventos de ciclo de vida.