发布于: Jul 29, 2022
AWS Control Tower 现在将 AWS CloudTrail 组织日志记录纳入了登录区版本 3.0。使用这项新功能时,需要在组织的管理账户中部署组织层面的 AWS CloudTrail 跟踪,以自动记录组织所有成员账户的操作。AWS Control Tower 不会为日志记录配置参数,但强制性的检测防护机制除外,该机制用于检查是否为所有 AWS Control Tower 受管控账户配置了日志记录。添加组织日志记录功能后的 AWS Control Tower 为用户实现统一账户日志记录提供了最新标准和最佳实践。
采用组织跟踪日志记录标志着支持方式将从账户跟踪日志记录过渡。在新的安装或更新/修复过程中,用户可以选择使用或不使用组织跟踪日志记录功能。这让有其他 AWS CloudTrail 要求的客户能够预置自己的跟踪,而无需重复聚合日志。由于此功能具有可选性,这为客户迁移到 AWS Control Tower 提供了灵活性。客户可以选择保留其现有的 CloudTrail 解决方案,并在首次部署登录区后启用 AWS Control Tower 组织日志记录。我们建议选择加入但不使用 AWS Control Tower 来管理其整个组织的客户,禁用非 AWS Control Tower 成员账户的账户跟踪日志记录,以防止出现重复的 CloudTrails 日志记录。
AWS Control Tower 让您能够异常轻松地基于 AWS 最佳实践设置和管理新的安全的多账户 AWS 环境。客户可使用 AWS Control Tower 的 Account Factory 创建新账户,并在支持的 AWS 区域启用各项监管功能,例如防护机制、集中日志记录和监控。要了解详情,请访问 AWS Control Tower 主页或参阅 AWS Control Tower 用户指南。如需查看提供 AWS Control Tower 的 AWS 区域的完整列表,请参阅 AWS 区域表。