Konten mit vorhandenen AWS Config Ressourcen registrieren - AWS Control Tower
Schritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur AWS Control Tower Tower-Zulassungsliste hinzuzufügenSchritt 2: Erstellen Sie eine neue IAM Rolle im Mitgliedskonto Schritt 3: Identifizieren Sie die AWS Regionen mit bereits vorhandenen Ressourcen Schritt 4: Identifizieren Sie die AWS Regionen ohne AWS Config RessourcenSchritt 5: Ändern Sie die vorhandenen Ressourcen in jeder AWS RegionSchritt 5a. AWS Config Ressourcen für RekorderSchritt 5b. Ändern Sie die Ressourcen des AWS Config Lieferkanals Schritt 5c. Ändern Sie die Ressourcen für die AWS Config AggregationsautorisierungSchritt 6: Ressourcen dort erstellen, wo sie nicht existieren, in Regionen, die vom AWS Control Tower verwaltet werden Schritt 7: Registrieren Sie die OU bei AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konten mit vorhandenen AWS Config Ressourcen registrieren

Dieses Thema bietet einen step-by-step Ansatz für die Registrierung von Konten, für die bereits Ressourcen vorhanden sind. AWS Config Beispiele dafür, wie Sie Ihre vorhandenen Ressourcen überprüfen können, finden Sie unterAWS Config CLIBeispielbefehle für den Ressourcenstatus.

Anmerkung

Wenn Sie planen, bestehende AWS Konten als Audit - und Protokollarchivkonten in AWS Control Tower zu übernehmen, und wenn diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen vollständig löschen, bevor Sie diese Konten für diesen Zweck bei AWS Control Tower registrieren können. Für Konten, die nicht als Audit - und Log-Archivkonten vorgesehen sind, können Sie die vorhandenen Config-Ressourcen ändern.

Beispiele für AWS Config Ressourcen

Hier sind einige Arten von AWS Config Ressourcen, über die Ihr Konto möglicherweise bereits verfügt. Diese Ressourcen müssen möglicherweise geändert werden, damit Sie Ihr Konto bei AWS Control Tower registrieren können.

  • AWS Config Rekorder

  • AWS Config Lieferkanal

  • AWS Config Autorisierung der Aggregation

Annahmen

  • Du hast eine landing zone im AWS Control Tower eingerichtet

  • Ihr Konto ist noch nicht bei AWS Control Tower registriert.

  • Ihr Konto verfügt bereits über mindestens eine AWS Config Ressource in mindestens einer der AWS Control Tower Tower-Regionen, die vom Verwaltungskonto verwaltet werden.

  • Ihr Konto ist nicht das AWS Control Tower Tower-Verwaltungskonto.

  • Ihr Konto befindet sich nicht im Wandel der Unternehmensführung.

Einen Blog, der einen automatisierten Ansatz zur Registrierung von Konten mit vorhandenen AWS Config Ressourcen beschreibt, finden Sie unter Automatisieren der Registrierung von Konten mit vorhandenen AWS Config Ressourcen in AWS Control Tower. Sie können ein einziges Support-Ticket für alle Konten einreichen, die Sie registrieren möchten, wie im Schritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur AWS Control Tower Tower-Zulassungsliste hinzuzufügen Folgenden beschrieben.

Einschränkungen

  • Das Konto kann nur mithilfe des AWS Control Tower Tower-Workflows zur Erweiterung der Governance registriert werden.

  • Wenn die Ressourcen geändert werden und zu Abweichungen auf dem Konto führen, aktualisiert AWS Control Tower die Ressourcen nicht.

  • AWS Config Ressourcen in Regionen, die nicht vom AWS Control Tower verwaltet werden, werden nicht verändert.

Anmerkung

Wenn Sie versuchen, ein Konto mit vorhandenen Config-Ressourcen zu registrieren, ohne dass das Konto der Zulassungsliste hinzugefügt wurde, schlägt die Registrierung fehl. Wenn Sie anschließend versuchen, dasselbe Konto zur Zulassungsliste hinzuzufügen, kann AWS Control Tower nicht überprüfen, ob das Konto korrekt bereitgestellt wurde. Sie müssen die Bereitstellung des Kontos von AWS Control Tower aufheben, bevor Sie die Zulassungsliste anfordern und dann registrieren können. Wenn Sie das Konto nur auf eine andere AWS Control Tower Tower-Organisationseinheit verschieben, führt dies zu einer Drift in der Unternehmensführung, wodurch auch verhindert wird, dass das Konto zur Zulassungsliste hinzugefügt wird.

Dieser Prozess besteht aus fünf Hauptschritten.

  1. Fügen Sie das Konto der AWS Control Tower Tower-Zulassungsliste hinzu.

  2. Erstellen Sie eine neue IAM Rolle im Konto.

  3. Ändern Sie bereits vorhandene AWS Config Ressourcen.

  4. Erstellen Sie AWS Config Ressourcen in AWS Regionen, in denen sie nicht existieren.

  5. Registrieren Sie das Konto bei AWS Control Tower.

Bevor Sie fortfahren, sollten Sie die folgenden Erwartungen in Bezug auf diesen Prozess berücksichtigen.

  • AWSControl Tower erstellt keine AWS Config Ressourcen in diesem Konto.

  • Nach der Registrierung schützen AWS Control Tower Controls automatisch die von Ihnen erstellten AWS Config Ressourcen, einschließlich der neuen IAM Rolle.

  • Wenn nach der Registrierung Änderungen an den AWS Config Ressourcen vorgenommen werden, müssen diese Ressourcen aktualisiert werden, damit sie mit den AWS Control Tower Tower-Einstellungen übereinstimmen, bevor Sie das Konto erneut registrieren können.

Schritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur AWS Control Tower Tower-Zulassungsliste hinzuzufügen

Fügen Sie diesen Satz in die Betreffzeile Ihres Tickets ein:

Konten mit vorhandenen AWS Config Ressourcen bei AWS Control Tower registrieren

Geben Sie im Hauptteil Ihres Tickets die folgenden Informationen an:

  • Kontonummer der Verwaltung

  • Kontonummern von Mitgliedskonten mit vorhandenen AWS Config Ressourcen

  • Ihre gewählte Heimatregion für die Einrichtung des AWS Control Tower

Anmerkung

Die erforderliche Zeit, um Ihr Konto zur Zulassungsliste hinzuzufügen, beträgt 2 Werktage.

Schritt 2: Erstellen Sie eine neue IAM Rolle im Mitgliedskonto

  1. Öffnen Sie die AWS CloudFormation Konsole für das Mitgliedskonto.

  2. Erstellen Sie einen neuen Stack mit der folgenden Vorlage

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Geben Sie den Namen für den Stack als an CustomerCreatedConfigRecorderRoleForControlTower

  4. Erstellen Sie den Stack.

Anmerkung

AlleSCPs, die Sie erstellen, sollten eine aws-controltower-ConfigRecorderRole* Rolle ausschließen. Ändern Sie nicht die Berechtigungen, die die Fähigkeit von AWS Config Regeln zur Durchführung von Bewertungen einschränken.

Folgen Sie diesen Richtlinien, damit Sie keine Meldung erhalten, AccessDeniedException wenn Sie SCPs diesen Block aws-controltower-ConfigRecorderRole* vom Aufrufen von Config haben.

Schritt 3: Identifizieren Sie die AWS Regionen mit bereits vorhandenen Ressourcen

Identifizieren und notieren Sie für jede verwaltete Region (vom AWS Control Tower regiert) im Konto die Regionen, in denen mindestens einer der oben AWS Config aufgeführten Ressourcenbeispieltypen vorhanden ist.

Schritt 4: Identifizieren Sie die AWS Regionen ohne AWS Config Ressourcen

Identifizieren und notieren Sie für jede verwaltete Region (vom AWS Control Tower regiert) im Konto die Regionen, in denen es keine AWS Config Ressourcen der zuvor gezeigten Beispieltypen gibt.

Schritt 5: Ändern Sie die vorhandenen Ressourcen in jeder AWS Region

Für diesen Schritt werden die folgenden Informationen zu Ihrem AWS Control Tower Tower-Setup benötigt.

  • LOGGING_ACCOUNT- die Logging-Konto-ID

  • AUDIT_ACCOUNT- die Audit-Konto-ID

  • IAM_ROLE_ARN- die in Schritt 1 ARN erstellte IAM Rolle

  • ORGANIZATION_ID- die Organisations-ID für das Verwaltungskonto

  • MEMBER_ACCOUNT_NUMBER- das Mitgliedskonto, das geändert wird

  • HOME_REGION- die Heimatregion für die Einrichtung des AWS Control Tower.

Ändern Sie jede vorhandene Ressource, indem Sie die Anweisungen in den nachfolgenden Abschnitten 5a bis 5c befolgen.

Schritt 5a. AWS Config Ressourcen für Rekorder

Pro AWS Region kann nur ein AWS Config Rekorder existieren. Falls einer vorhanden ist, ändern Sie die Einstellungen wie gezeigt. Ersetzen Sie den Artikel GLOBAL_RESOURCE_RECORDING in Ihrer Heimatregion durch true. Ersetzen Sie das Element in anderen Regionen, in denen ein AWS Config Rekorder vorhanden ist, durch „falsch“.

  • Name: DON 'T CHANGE

  • RolleARN: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: wahr

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Leer

Diese Änderung kann AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge RECORDER_NAME durch den vorhandenen AWS Config Rekordernamen.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Schritt 5b. Ändern Sie die Ressourcen des AWS Config Lieferkanals

Pro Region kann nur ein AWS Config Lieferkanal existieren. Falls ein anderer vorhanden ist, ändern Sie die Einstellungen wie gezeigt.

  • Name: DON 'T CHANGE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Stunden

  • S3BucketName: Der Name des Logging-Buckets aus dem AWS Control Tower Tower-Logging-Konto

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: Das SNS Thema ARN aus dem Prüfkonto mit dem folgenden Format:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Diese Änderung kann AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge DELIVERY_CHANNEL_NAME durch den vorhandenen AWS Config Rekordernamen.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Schritt 5c. Ändern Sie die Ressourcen für die AWS Config Aggregationsautorisierung

Pro Region können mehrere Aggregationsautorisierungen existieren. AWS Control Tower benötigt eine Aggregationsautorisierung, die das Auditkonto als autorisiertes Konto angibt und die Heimatregion für AWS Control Tower als autorisierte Region hat. Falls es nicht existiert, erstellen Sie ein neues mit den folgenden Einstellungen:

  • AuthorizedAccountId: Die Audit-Konto-ID

  • AuthorizedAwsRegion: Die Heimatregion für das AWS Control Tower Tower-Setup

Diese Änderung kann AWS CLI mit dem folgenden Befehl vorgenommen werden:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Schritt 6: Ressourcen dort erstellen, wo sie nicht existieren, in Regionen, die vom AWS Control Tower verwaltet werden

Überarbeiten Sie die AWS CloudFormation Vorlage, sodass der IncludeGlobalResourcesTypesParameter in Ihrer Heimatregion den Wert hatGLOBAL_RESOURCE_RECORDING, wie im folgenden Beispiel gezeigt. Aktualisieren Sie außerdem die erforderlichen Felder in der Vorlage, wie in diesem Abschnitt beschrieben.

Ersetzen Sie den Artikel GLOBAL_RESOURCE_RECORDING in Ihrer Heimatregion durch true. Ersetzen Sie das Element in anderen Regionen, in denen ein AWS Config Rekorder vorhanden ist, durch „falsch“.

  1. Navigieren Sie zur AWS CloudFormation Konsole des Verwaltungskontos.

  2. Erstellen Sie ein neues StackSet mit dem Namen CustomerCreatedConfigResourcesForControlTower.

  3. Kopieren und aktualisieren Sie die folgende Vorlage:

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Aktualisieren Sie die Vorlage mit den erforderlichen Feldern:

    1. Ersetzen Sie im BucketName Feld S3 das LOGGING_ACCOUNT_ID und HOME_REGION

    2. Ersetzen Sie KeyPrefix im Feld S3 den ORGANIZATION_ID

    3. Ersetzen Sie im SnsTopicARNFeld den AUDIT_ACCOUNT

    4. Ersetzen Sie in dem AuthorizedAccountIdFeld den AUDIT_ACCOUNT

    5. Ersetzen Sie in dem AuthorizedAwsRegionFeld den HOME_REGION

  4. Fügen Sie während der Bereitstellung auf der AWS CloudFormation Konsole die Mitgliedskontonummer hinzu.

  5. Fügen Sie die AWS Regionen hinzu, die in Schritt 4 identifiziert wurden.

  6. Stellen Sie das Stack-Set bereit.

Schritt 7: Registrieren Sie die OU bei AWS Control Tower

Registrieren Sie die OU im AWS Control Tower Tower-Dashboard.

Anmerkung

Der Workflow zur Kontoregistrierung wird für diese Aufgabe nicht erfolgreich sein. Sie müssen „OU registrieren“ oder „OU erneut registrieren“ wählen.