登录区更新的最佳实践 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

登录区更新的最佳实践

本部分将介绍在考虑升级 AWS Control Tower 中的登录区版本时应牢记的一些注意事项和最佳实践。从 2.0 登录区版本系列改为 3.0 登录区版本系列尤为重要。当您升级登录区时,AWS Control Tower 会自动将您移至最新的可用版本。

注意

建议更新到最新版本的登录区。

本部分介绍的最佳实践摘要

  • 最佳实践:出于安全和审计原因,强烈建议您对所有账户全面启用日志记录,并将日志记录信息发送到一个集中位置。在 AWS Control Tower 中,这个集中位置是日志存档账户,它提供一个 Amazon S3 日志存储桶。

  • 最佳实践:如果您选择退出 AWS Control Tower 中的组织级 CloudTrail 跟踪,请设置和管理自己的跟踪。

  • 最佳实践:在运行 AWS Control Tower 环境时,请设置一个测试环境。

从 2.x 登录区版本迁移到 3.x 登录区版本的好处

  • 仅记录所在区域的 AWS Config 资源,这样在管理全球资源时可以节省成本

  • 使用您自己的 KMS 密钥加密您的 AWS CloudTrail 跟踪

  • 自定义日志保留时间范围

  • 增强了强制性控件

  • 增加了可用控件的数量

  • 与集成 AWS Security Hub

  • Python 运行时更新

从 2.x 登录区版本迁移到 3.x 登录区版本的注意事项

  • 在 landing zone 3.0 及更高版本中,AWS Control Tower 不再支持可管理的 AWS 账户级 AWS CloudTrail 跟踪。

  • 您可以选择由 AWS Control Tower 管理的组织级跟踪,也可以选择退出该跟踪并管理自己的 CloudTrail 跟踪。

  • 有些情况下可能会产生双重成本,特别是如果一个 OU 中的某些账户没有注册 AWS Control Tower,并且有自己的账户级别跟踪,而您又想保留这些跟踪。

选择组织级 CloudTrail 跟踪的注意事项

  • 当您升级到 3.0 或更高版本时,AWS Control Tower 会在 24 小时后删除其最初创建的账户级别跟踪。[例外]

  • 这些跟踪中的数据不会丢失。即使移除了跟踪,您现有的日志也会被保留。

  • AWS Control Tower 在同一个 Amazon S3 存储桶中为跟踪创建了一条新路径,以区分账户级别跟踪和组织级别跟踪。

    • 账户跟踪日志路径的格式如下:/orgId/AWSLogs/...

    • 组织跟踪日志路径的格式如下:/orgId/AWSLogs/orgId/...

  • 您已部署的其他 CloudTrail 跟踪(未由 AWS Control Tower 部署的跟踪)不会被触及。

  • 如果未注册的账户是已注册 OU 的一部分,则所有账户都会被纳入组织级别跟踪,包括未在 AWS Control Tower 中注册的账户。

  • 关联账户中的 Amazon CloudWatch 警报不会被触发。

  • 如果您选择退出组织级别跟踪,AWS Control Tower 仍会创建该跟踪,但将其状态设置为关闭

  • 作为最佳实践,如果您选择退出 AWS Control Tower 中的组织级跟踪,则应设置和管理自己的 CloudTrail 跟踪,

组织级别跟踪的好处

  • 组织跟踪适用于 OU 中的所有账户。

  • 记录的项目是标准化的,账户用户无法进行修改。

考虑一个测试环境

升级登录区时,AWS Control Tower 仅对共享账户和基础 OU 进行更改。它不会更改您的工作负载帐户或 OUs. 但是,作为最佳实践,在运行 AWS Control Tower 环境时,我们建议您设置一个测试环境。在隔离的测试环境中,您可以测试 AWS Control Tower 着陆区升级,以及您可能对服务控制策略 (SCPs) 所做的任何更改,还可以测试要应用于该环境的控制措施。如果您在受监管的行业中运营,则此建议特别有用。

更新时常见错误清单

以下是您在将 AWS Control Tower 着陆区从 2.x 版本更新到 3.x 版本时可以执行的简短任务列表,以避免出现常见错误。

基本更新清单

  • 检查你的着陆区:

    — 前往 AWS Control Tower 服务,查看组织单位账户页面,然后确认您的账户状态已设置为 “已注册” 和 “已注册”。

    — 如果适用,请验证并确认您的自定义管道上次运行是否成功。

    — 检查审计账户中的 Amazon S3 集中日志存储桶,因为之前对存储桶策略所做的任何更改都将被覆盖。

  • 验证任何 SCPs 不属于 AWS Control Tower 的AWSControlTowerExecution角色都不会限制该角色在成员账户中执行操作或在管理账户中为执行更新的管理角色执行操作。