Registriere ein vorhandenes AWS-Konto - AWS Control Tower
Was passiert bei der KontoregistrierungRegistrierung vorhandener Konten bei VPCsWas ist, wenn das Konto die Voraussetzungen nicht erfüllt?Beispiel für AWS Config CLI-Befehle für den RessourcenstatusAutomatisierte Registrierung von Konten AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registriere ein vorhandenes AWS-Konto

Sie können AWS Control Tower Governance auf eine bestehende Einzelperson ausdehnen, AWS-Konto wenn Sie sie in einer Organisationseinheit (OU) registrieren, die bereits von AWS Control Tower verwaltet wird. In Frage kommende Konten existieren in nicht registrierten Organisationseinheiten, die Teil derselben AWS Organizations Organisation wie die AWS Control Tower Tower-Organisationseinheit sind.

Anmerkung

Sie können ein vorhandenes Konto nur bei der ersten Einrichtung der landing zone als Audit- oder Protokollarchivkonto registrieren.

Richten Sie zuerst einen vertrauenswürdigen Zugriff ein

Bevor Sie ein vorhandenes AWS-Konto Konto bei AWS Control Tower registrieren können, müssen Sie AWS Control Tower die Erlaubnis erteilen, das Konto zu verwalten oder zu verwalten. Insbesondere benötigt AWS Control Tower die Erlaubnis, einen vertrauenswürdigen Zugriff zwischen AWS CloudFormation und in AWS Organizations Ihrem Namen einzurichten, sodass Ihr Stack automatisch für die Konten in Ihrer ausgewählten Organisation bereitgestellt werden AWS CloudFormation kann. Mit diesem vertrauenswürdigen Zugriff führt die AWSControlTowerExecution Rolle die Aktivitäten durch, die für die Verwaltung der einzelnen Konten erforderlich sind. Aus diesem Grund müssen Sie diese Rolle jedem Konto hinzufügen, bevor Sie es registrieren.

Wenn der vertrauenswürdige Zugriff aktiviert ist, AWS CloudFormation können Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang erstellt, aktualisiert oder gelöscht werden. AWS Control Tower stützt sich auf diese Vertrauensfunktion, sodass es Rollen und Berechtigungen auf bestehende Konten anwenden kann, bevor es sie in eine registrierte Organisationseinheit verschiebt, wodurch sie unter Kontrolle gebracht werden.

Weitere Informationen über vertrauenswürdigen Zugriff und AWS CloudFormation StackSets finden Sie unter AWS CloudFormationStackSetsund AWS Organizations.

Was passiert bei der Kontoregistrierung

Während des Registrierungsprozesses führt AWS Control Tower die folgenden Aktionen aus:

  • Grundlegende Erstellung des Kontos, darunter die Bereitstellung dieser Stack-Sets:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Es empfiehlt sich, die Vorlagen dieser Stack-Sets zu überprüfen und sicherzustellen, dass sie nicht mit Ihren bestehenden Richtlinien in Konflikt stehen.

  • Identifiziert das Konto über AWS IAM Identity Center oder. AWS Organizations

  • Platziert des Kontos in der von Ihnen angegebenen OU. Stellen Sie sicher, dass SCPs in der aktuellen OUs angewendet werden, damit Ihre Sicherheitsposition konsistent bleibt.

  • Wendet anhand der SCPs, die für die gesamte ausgewählte Organisationseinheit gelten, obligatorische Kontrollen auf das Konto an.

  • Aktiviert AWS Config und konfiguriert es so, dass alle Ressourcen im Konto aufgezeichnet werden.

  • Fügt dem Konto die AWS Config Regeln hinzu, die die AWS Control Tower Detective Controls anwenden.

Konten und Trails auf Organisationsebene CloudTrail

Alle Mitgliedskonten in einer Organisationseinheit unterliegen dem AWS CloudTrail Pfad für die Organisationseinheit, unabhängig davon, ob sie registriert sind oder nicht:

  • Wenn Sie ein Konto bei AWS Control Tower registrieren, wird Ihr Konto durch den AWS CloudTrail Trail für die neue Organisation geregelt. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.

  • Wenn Sie ein Konto in eine registrierte Organisationseinheit verschieben — zum Beispiel über die AWS Organizations Konsole — und das Konto nicht bei AWS Control Tower registrieren, möchten Sie möglicherweise alle verbleibenden Trails auf Kontoebene für das Konto entfernen. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, fallen für Sie doppelte Gebühren an. CloudTrail

Wenn du deine landing zone aktualisierst und dich dafür entscheidest, Trails auf Organisationsebene zu deaktivieren, oder wenn deine landing zone älter als Version 3.0 ist, gelten CloudTrail Trails auf Organisationsebene nicht für deine Konten.

Registrierung vorhandener Konten bei VPCs

AWS Control Tower behandelt VPCs anders, wenn Sie ein neues Konto in Account Factory bereitstellen, als wenn Sie ein vorhandenes Konto registrieren.

  • Wenn Sie ein neues Konto erstellen, entfernt AWS Control Tower automatisch die AWS Standard-VPC und erstellt eine neue VPC für dieses Konto.

  • Wenn Sie ein vorhandenes Konto registrieren, erstellt AWS Control Tower keine neue VPC für dieses Konto.

  • Wenn Sie ein vorhandenes Konto registrieren, entfernt AWS Control Tower keine bestehende VPC oder AWS Standard-VPC, die mit dem Konto verknüpft sind.

Tipp

Sie können das Standardverhalten für neue Konten ändern, indem Sie Account Factory so konfigurieren, dass standardmäßig keine VPC für Konten in Ihrer Organisation unter AWS Control Tower eingerichtet wird. Weitere Informationen finden Sie unter Erstellen Sie ein Konto in AWS Control Tower ohne VPC.

Was ist, wenn das Konto die Voraussetzungen nicht erfüllt?

Denken Sie daran, dass Konten, die für die Registrierung bei AWS Control Tower Governance in Frage kommen, als Voraussetzung Teil derselben Gesamtorganisation sein müssen. Um diese Voraussetzung für die Kontoregistrierung zu erfüllen, können Sie diese vorbereitenden Schritte befolgen, um ein Konto in dieselbe Organisation wie AWS Control Tower zu verschieben.

Vorbereitende Schritte, um ein Konto derselben Organisation wie AWS Control Tower zuzuordnen

  1. Löschen Sie das Konto aus der bestehenden Organisation. Wenn Sie diesen Ansatz verwenden, müssen Sie eine separate Zahlungsmethode angeben.

  2. Laden Sie das Konto ein, der AWS Control Tower Tower-Organisation beizutreten. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Ein AWS Konto zum Beitritt zu Ihrer Organisation einladen.

  3. Nehmen Sie die Einladung an. Das Konto wird im Stammverzeichnis der Organisation angezeigt. Durch diesen Schritt wird das Konto in dieselbe Organisation wie AWS Control Tower verschoben und SCPs und konsolidierte Fakturierung eingerichtet.

Tipp

Sie können die Einladung für die neue Organisation versenden, bevor das Konto aus der alten Organisation gelöscht wird. Die Einladung wartet, wenn das Konto offiziell aus der bestehenden Organisation austritt.

Schritte zur Erfüllung der verbleibenden Voraussetzungen:

  1. Erstellen Sie die erforderliche AWSControlTowerExecution Rolle.

  2. Löschen Sie die Standard-VPC. (Dieser Teil ist optional. AWS Control Tower ändert Ihre bestehende Standard-VPC nicht.)

  3. Löschen oder ändern Sie jeden vorhandenen AWS Config Konfigurationsrekorder oder Bereitstellungskanal über das AWS CLI oder AWS CloudShell. Weitere Informationen finden Sie unter Beispiel für AWS Config CLI-Befehle für den Ressourcenstatus und Registrieren von Konten mit vorhandenen AWS Config Ressourcen

Nachdem Sie diese vorbereitenden Schritte abgeschlossen haben, können Sie das Konto bei AWS Control Tower registrieren. Weitere Informationen finden Sie unter Schritte zur Registrierung eines Kontos. Dieser Schritt bringt das Konto in die vollständige AWS Control Tower Tower-Governance.

Optionale Schritte zum Aufheben der Bereitstellung eines Kontos, sodass es registriert werden kann und sein Stack beibehalten werden kann

  1. Um den angewendeten AWS CloudFormation Stack beizubehalten, löschen Sie die Stack-Instance aus den Stack-Sets und wählen Sie Stacks beibehalten für die Instance aus.

  2. Kündigen Sie das vom Konto bereitgestellte Produkt in AWS Service Catalog Account Factory. (Dieser Schritt entfernt nur das bereitgestellte Produkt aus AWS Control Tower. Das Konto wird dadurch nicht gelöscht.)

  3. Richten Sie das Konto mit den erforderlichen Rechnungsdetails ein, wie sie für jedes Konto erforderlich sind, das keiner Organisation gehört. Entfernen Sie dann das Konto aus der Organisation. (Sie tun dies, damit das Konto nicht auf die Gesamtsumme Ihres AWS Organizations Kontingents angerechnet wird.)

  4. Bereinigen Sie das Konto, falls noch Ressourcen übrig sind, und schließen Sie es dann, nachdem Sie die Schritte zur Kontoschließung unter beschrieben habenDie Verwaltung eines Kontos aufheben.

  5. Wenn Sie eine gesperrte Organisationseinheit mit definierten Kontrollen haben, können Sie das Konto dorthin verschieben, anstatt Schritt 1 auszuführen.

Beispiel für AWS Config CLI-Befehle für den Ressourcenstatus

Im Folgenden finden Sie einige AWS Config CLI-Beispielbefehle, mit denen Sie den Status Ihres Konfigurationsrekorders und Ihres Bereitstellungskanals ermitteln können.

Befehle anzeigen:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

Die normale Antwort ist so etwas wie "name": "default"

Befehle löschen:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Automatisierte Registrierung von Konten AWS Organizations

Sie können die in einem Blogbeitrag namens Enroll existing AWS accounts into AWS Control Tower beschriebene Registrierungsmethode verwenden, um Ihre AWS Organizations Konten mit einem programmatischen Prozess bei AWS Control Tower zu registrieren.

Die folgende YAML-Vorlage kann Ihnen dabei helfen, die erforderliche Rolle in einem Konto zu erstellen, sodass sie programmgesteuert registriert werden kann.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess