Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen
Dieses Thema bietet einen step-by-step Ansatz für die Registrierung von Konten, für die bereits Ressourcen vorhanden sind. AWS Config Beispiele dafür, wie Sie Ihre vorhandenen Ressourcen überprüfen können, finden Sie unter[Registrieren Sie Konten mit Ressourcen AWS Config](enroll-account.md#example-config-cli-commands).
**Beispiele für AWS Config Ressourcen**
Hier sind einige Arten von AWS Config Ressourcen, über die Ihr Konto möglicherweise bereits verfügt. Diese Ressourcen müssen möglicherweise geändert werden, damit Sie Ihr Konto bei AWS Control Tower registrieren können.
+ AWS Config Rekorder
+ AWS Config Lieferkanal
+ AWS Config Autorisierung der Aggregation
**Einschränkungen**
+ Das Registrierungskonto mit vorhandener AWS Config-Ressource wird für Verwaltungskonten oder Serviceintegrationskonten, die in der landing zone konfiguriert sind, nicht unterstützt.
+ Das Konto kann nur mithilfe des Workflows zur Registrierung oder erneuten Registrierung der Organisationseinheit registriert werden, der das aktiviert. `AWSControlTowerBaseline` Das Konto kann nicht registriert werden, indem das aktiviert oder zurückgesetzt wird. `ConfigBaseline`
+ Ein Konto mit vorhandener AWS Config-Ressource wird von nicht unterstützt[Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md).
+ Wenn die Ressourcen geändert werden und zu Abweichungen auf dem Konto führen, aktualisiert AWS Control Tower die Ressourcen nicht.
+ AWS Config Ressourcen in Regionen, die nicht von AWS Control Tower verwaltet werden, werden nicht geändert.
**Annahmen**
+ Sie haben eine AWS Control Tower Tower-Landezone bereitgestellt.
+ Ihr Konto ist noch nicht bei AWS Control Tower registriert.
+ Ihr Konto verfügt über mindestens eine bereits vorhandene AWS Config Ressource in mindestens einer der Regionen, die von AWS Control Tower verwaltet werden.
+ Ihr Konto unterliegt keiner abweichenden Unternehmensführung.
**Anmerkung**
Wenn Sie versuchen, ein Konto mit vorhandenen Config-Ressourcen zu registrieren, ohne dass das Konto der Zulassungsliste hinzugefügt wurde, schlägt die Registrierung fehl. Wenn Sie anschließend versuchen, dasselbe Konto zur Zulassungsliste hinzuzufügen, kann AWS Control Tower nicht überprüfen, ob das Konto korrekt bereitgestellt wurde. Sie müssen die Bereitstellung des Kontos von AWS Control Tower aufheben, bevor Sie die Zulassungsliste anfordern und dann registrieren können. Wenn Sie das Konto nur auf eine andere AWS Control Tower Tower-Organisationseinheit verschieben, führt dies zu einer Drift in der Unternehmensführung, wodurch auch verhindert wird, dass das Konto zur Zulassungsliste hinzugefügt wird.
Einen Blog, der einen automatisierten Ansatz zur Registrierung von Konten mit vorhandenen AWS Config Ressourcen beschreibt, finden [Sie unter Automatisieren der Registrierung von Konten mit vorhandenen AWS Config Ressourcen in AWS](https://aws.amazon.com//blogs/mt/automate-enrollment-of-accounts-with-existing-aws-config-resources-into-aws-control-tower/) Control Tower.
**Dieser Prozess besteht aus fünf Hauptschritten.**
1. Fügen Sie die Konten zur Zulassungsliste von AWS Control Tower hinzu.
1. Erstellen Sie eine neue IAM-Rolle im Konto.
1. Ändern Sie bereits vorhandene Ressourcen AWS Config .
1. Erstellen Sie AWS Config Ressourcen in AWS Regionen, in denen sie nicht existieren.
1. Registrieren Sie das Konto bei AWS Control Tower.
**Bevor Sie fortfahren, sollten Sie die folgenden Erwartungen in Bezug auf diesen Prozess berücksichtigen.**
+ AWS Control Tower erstellt keine AWS Config Ressourcen in diesem Konto.
+ Nach der Registrierung schützen AWS Control Tower Controls automatisch die von Ihnen erstellten AWS Config Ressourcen, einschließlich der neuen IAM-Rolle.
+ Wenn nach der Registrierung Änderungen an den AWS Config Ressourcen vorgenommen werden, müssen diese Ressourcen aktualisiert werden, damit sie mit den AWS Control Tower Tower-Einstellungen übereinstimmen, bevor Sie das Konto erneut registrieren können.
## Schritt 1: Wenden Sie sich an den Support, um Konten zur Zulassungsliste hinzuzufügen
**Fügen Sie diesen Satz in die Betreffzeile Ihres Tickets ein:**
*Konten mit vorhandenen AWS Config Ressourcen bei AWS Control Tower registrieren*
**Geben Sie die folgenden Details in den Hauptteil Ihres Tickets ein:**
+ Kontonummer der Verwaltung
+ Kontonummern von Mitgliedskonten, für die bereits AWS Config Ressourcen vorhanden sind. Sie können eine Support-Anfrage für alle Konten erstellen, die Sie registrieren möchten.
+ Ihre gewählte Heimatregion für die Einrichtung von AWS Control Tower
**Anmerkung**
Die erforderliche Zeit für das Hinzufügen Ihres Kontos zur Zulassungsliste beträgt 2 Werktage.
## Schritt 2: Erstellen Sie eine neue IAM-Rolle im Mitgliedskonto
1. Öffnen Sie die CloudFormation Konsole für das Mitgliedskonto.
1. Erstellen Sie einen neuen Stack mit der folgenden Vorlage
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorderRole:
Type: AWS::IAM::Role
Properties:
RoleName: aws-controltower-ConfigRecorderRole-customer-created
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
- arn:aws:iam::aws:policy/ReadOnlyAccess
```
1. Geben Sie den Namen für den Stack an als **CustomerCreatedConfigRecorderRoleForControlTower**
1. Erstellen Sie den Stack.
**Anmerkung**
Alle SCPs , die Sie erstellen, sollten eine `aws-controltower-ConfigRecorderRole*` Rolle ausschließen. Ändern Sie nicht die Berechtigungen, die die Fähigkeit von AWS Config Regeln zur Durchführung von Bewertungen einschränken.
Folgen Sie diesen Richtlinien, damit Sie keine Meldung erhalten, `AccessDeniedException` wenn Sie SCPs diesen Block `aws-controltower-ConfigRecorderRole*` vom Aufrufen von Config haben.
## Schritt 3: Identifizieren Sie die AWS Regionen mit bereits vorhandenen Ressourcen
Identifizieren und notieren Sie für jede regulierte Region (von AWS Control Tower verwaltet) im Konto die Regionen, in denen mindestens einer der oben aufgeführten AWS Config Ressourcenbeispieltypen vorhanden ist.
## Schritt 4: Identifizieren Sie die AWS Regionen ohne AWS Config Ressourcen
Identifizieren und notieren Sie für jede regulierte Region (von AWS Control Tower verwaltet) im Konto die Regionen, in denen es keine AWS Config Ressourcen der zuvor gezeigten Beispieltypen gibt.
## Schritt 5: Ändern Sie die vorhandenen Ressourcen in jeder AWS Region
Für diesen Schritt werden die folgenden Informationen zu Ihrem AWS Control Tower Tower-Setup benötigt.
+ `AUDIT_ACCOUNT`— die ID des AWS Config-Serviceintegrationskontos (früher bekannt als Audit-Konto)
+ `CONFIG_BUCKET`— der AWS S3-Bucket, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Suchen und bestätigen Sie, dass der AWS S3-Bucket vorhanden ist, bevor Sie mit den nächsten Schritten fortfahren.
+ Für landing zone Version 3.3 oder niedriger hat der AWS S3-Bucket einen Namen`aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION`, der sich im Logging-Konto befindet.
+ Bei landing zone Zone-Version 4.0 oder höher ist der AWS S3-Bucket benannt `aws-controltower-config-logs-AUDIT_ACCOUNT--` und befindet sich im AWS Config-Serviceintegrationskonto (früher bekannt als Audit-Konto).
+ `IAM_ROLE_ARN`— der in Schritt 2 erstellte ARN für die IAM-Rolle
+ `ORGANIZATION_ID`— die Organisations-ID für das Verwaltungskonto
+ `MEMBER_ACCOUNT_NUMBER`- das Mitgliedskonto, das geändert wird
+ `HOME_REGION`— die Heimatregion für die Einrichtung von AWS Control Tower.
Ändern Sie jede vorhandene Ressource, indem Sie die Anweisungen in den nachfolgenden Abschnitten 5a bis 5c befolgen.
## Schritt 5a. AWS Config Ressourcen für Rekorder
Pro AWS Region kann nur ein AWS Config Rekorder existieren. Falls einer vorhanden ist, ändern Sie die Einstellungen wie gezeigt. Ersetzen Sie den Artikel `GLOBAL_RESOURCE_RECORDING` in Ihrer Heimatregion durch **true**. Ersetzen Sie das Element in anderen Regionen, in denen ein AWS Config Rekorder vorhanden ist, durch „**falsch**“.
+ **Name:** NICHT ÄNDERN
+ **RoleARN:** ` IAM_ROLE_ARN`
+ **RecordingGroup:**
+ **AllSupported: wahr**
+ **IncludeGlobalResourceTypes:** `GLOBAL_RESOURCE_RECORDING`
+ **ResourceTypes:** Leer
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge `RECORDER_NAME` durch den vorhandenen AWS Config Rekordernamen.
```
aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION
```
## Schritt 5b. Ändern Sie die Ressourcen des AWS Config Lieferkanals
Pro Region kann nur ein AWS Config Lieferkanal existieren. Falls ein anderer vorhanden ist, ändern Sie die Einstellungen wie gezeigt.
+ **Name:** NICHT ÄNDERN
+ **ConfigSnapshotDeliveryProperties:** TwentyFour \$1Stunden
+ **S3BucketName:** *CONFIG\$1BUCKET*
+ **S 3KeyPrefix:** *ORGANIZATION\$1ID*
+ **SnsTopicARN:** Der SNS-Themen-ARN aus dem Prüfkonto mit dem folgenden Format:
`arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications`
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge `DELIVERY_CHANNEL_NAME` durch den vorhandenen AWS Config Rekordernamen.
```
aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=CONFIG_BUCKET,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION
```
## Schritt 5c. Ändern Sie die Ressourcen für die AWS Config Aggregationsautorisierung
**Anmerkung**
Dieser Schritt ist für landing zone Version 4.0 oder höher nicht erforderlich.
Pro Region können mehrere Aggregationsautorisierungen existieren. AWS Control Tower erfordert eine Aggregationsautorisierung, die das Auditkonto als autorisiertes Konto angibt und die Heimatregion für AWS Control Tower als autorisierte Region hat. Falls es nicht existiert, erstellen Sie ein neues mit den folgenden Einstellungen:
+ **AuthorizedAccountId:** Die Audit-Konto-ID
+ **AuthorizedAwsRegion:** Die Heimatregion für das AWS Control Tower Tower-Setup
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden:
`aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION`
## Schritt 6: Ressourcen dort erstellen, wo sie nicht existieren, in Regionen, die von AWS Control Tower verwaltet werden
Überarbeiten Sie die CloudFormation Vorlage, sodass der **IncludeGlobalResourcesTypes**Parameter in Ihrer Heimatregion den Wert hat`GLOBAL_RESOURCE_RECORDING`, wie im folgenden Beispiel gezeigt. Aktualisieren Sie außerdem die erforderlichen Felder in der Vorlage, wie in diesem Abschnitt beschrieben.
Ersetzen Sie den Artikel `GLOBAL_RESOURCE_RECORDING` in Ihrer Heimatregion durch **true**. Ersetzen Sie den Eintrag durch **„Falsch“** für andere Regionen, in denen kein AWS Config Rekorder vorhanden ist.
1. Navigieren Sie zur CloudFormation Konsole des Verwaltungskontos.
1. Erstellen Sie ein neues StackSet mit dem Namen **CustomerCreatedConfigResourcesForControlTower**.
1. Kopieren und aktualisieren Sie die folgende Vorlage:
**Anmerkung**
Die `CustomerCreatedAggregationAuthorization` Ressource in der Vorlage ist für landing zone Version 4.0 oder höher nicht erforderlich.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorder:
Type: AWS::Config::ConfigurationRecorder
Properties:
Name: aws-controltower-BaselineConfigRecorder-customer-created
RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
RecordingGroup:
AllSupported: true
IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
ResourceTypes: []
CustomerCreatedConfigDeliveryChannel:
Type: AWS::Config::DeliveryChannel
Properties:
Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
ConfigSnapshotDeliveryProperties:
DeliveryFrequency: TwentyFour_Hours
S3BucketName: CONFIG_BUCKET
S3KeyPrefix: ORGANIZATION_ID
SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
CustomerCreatedAggregationAuthorization:
Type: "AWS::Config::AggregationAuthorization"
Properties:
AuthorizedAccountId: AUDIT_ACCOUNT
AuthorizedAwsRegion: HOME_REGION
```
**Aktualisieren Sie die Vorlage mit den erforderlichen Feldern:**
1. Ersetzen Sie BucketName im Feld **S3** den *CONFIG\$1BUCKET*
1. Ersetzen Sie KeyPrefix im Feld **S3** den *ORGANIZATION\$1ID*
1. Ersetzen **SnsTopicSie im ARN-Feld** den *AUDIT\$1ACCOUNT*
1. Ersetzen Sie im **AuthorizedAccountId**Feld den *AUDIT\$1ACCOUNT*
1. Ersetzen Sie im **AuthorizedAwsRegion**Feld den *HOME\$1REGION*
1. Fügen Sie während der Bereitstellung auf der CloudFormation Konsole die Mitgliedskontonummer hinzu.
1. Fügen Sie die AWS Regionen hinzu, die in Schritt 4 identifiziert wurden.
1. Stellen Sie das Stack-Set bereit.
## Schritt 7: Registrieren Sie die Organisationseinheit bei AWS Control Tower
Registrieren Sie die Organisationseinheit im AWS Control Tower Tower-Dashboard.
**Anmerkung**
Der Workflow zur **Kontoregistrierung** wird für diese Aufgabe nicht erfolgreich sein. Sie müssen **OU registrieren oder OU** **erneut registrieren** wählen.