谁能帮我整理一下我对aws配置的查询?
Firstly, when I am launching control tower, I see 2 config aggregators, one in management account and other in archive account. What is the difference between these two? If there is no difference won't it result in unnecessary costs. If there is a difference, may I know what are the differences and which one is the main config one.
I believe I am correct in my understanding that controls implemented by preventive guardrails, though implemented by aws config has nothing to do with aws config. I mean does the non-compliance things shown by CT and AWS aggregator both differ?
Lets say I want to apply CIS/NIST conformance packs, where should I apply them. Is it under aggregator of management or archive account? I also see an option of frameworks under CT guardrails. What difference does it make if I apply nist as controls on control tower rather than on aws config aggregator.
两个Config aggregator在Control Tower中的差异:
Control Tower为您设置了两个AWS Config聚合器:一个在管理帐户中,一个在日志归档帐户中。这两个聚合器的主要区别在于它们的作用域和目的。
管理帐户聚合器:此聚合器负责聚合来自组织内所有AWS帐户的配置和合规性数据。这允许您从一个地方查看整个组织的法规遵循状态和配置更改。
日志归档帐户aggregator:此聚合器专注于聚合与日志归档帐户相关的AWS配置数据。该帐户的主要目的是存储和集中日志和审计跟踪,以实现安全和遵从性目的。
虽然看起来有些多余,但是单独设置这两个聚合器可以更好地组织、控制和查看AWS资源及其合规性状态。
护栏和AWS配置:
控制塔中的预防性护栏使用AWS配置规则实现。虽然规则由AWS Config管理,但护栏本身是特定于控制塔的。Control Tower显示的不合规信息可能与AWS Config中的信息不同,因为Control Tower提供了多帐户环境及其合规状态的更高级别视图。
应用CIS/NIST一致性包:
要应用CIS或NIST一致性包,您应该在管理帐户的AWS配置聚合器中这样做。这将确保一致性包应用于组织中的所有帐户。控制塔护栏旨在实施最佳实践,而一致性包是一组预定义的AWS配置规则和补救措施,旨在满足特定的合规性标准,如CIS或NIST。
关于控制塔护栏下的框架,它们是为特定合规需求而设计的预建护栏组。如果选择应用NIST框架作为护栏,它将提供与在AWS配置中应用NIST一致性包类似的好处。然而,不同之处在于实现:Control Tower护栏被设计为与您的Control Tower多账户环境无缝工作,而AWS配置中的一致性包需要在AWS配置中直接管理和应用。