Inscribir un ya existente Cuenta de AWS - AWS Control Tower
¿Qué sucede durante la inscripción de la cuentaInscribir cuentas existentes en VPC¿Qué sucede si la cuenta no cumple los requisitos previos?Ejemplos de comandos AWS Config CLI para el estado de los recursosRegistro automatizado de AWS Organizations cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inscribir un ya existente Cuenta de AWS

Puede extender el gobierno de la Torre de Control de AWS a una persona, ya existente Cuenta de AWS al inscribirla en una unidad organizativa (OU) que ya esté gobernada por la Torre de Control de AWS. Las cuentas aptas existen en unidades organizativas no registradas que forman parte de la misma AWS Organizations organización que la unidad organizativa de AWS Control Tower.

nota

No puedes inscribir una cuenta existente para que sirva como cuenta de auditoría o archivo de registros, excepto durante la configuración inicial de landing zone.

Configure primero el acceso confiable

Antes de poder inscribir una Cuenta de AWS cuenta existente en la Torre de Control de AWS, debe dar permiso a la Torre de Control de AWS para administrar o gobernar la cuenta. En concreto, AWS Control Tower requiere permiso para establecer un acceso de confianza entre AWS CloudFormation y AWS Organizations en su nombre, de modo que AWS CloudFormation pueda implementar su pila automáticamente en las cuentas de la organización seleccionada. Con este acceso confiable, el AWSControlTowerExecution rol lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso, debes agregar este rol a cada cuenta antes de inscribirla.

Cuando el acceso de confianza está activado, AWS CloudFormation puedes crear, actualizar o eliminar pilas en varias cuentas y Regiones de AWS con una sola operación. AWS Control Tower se basa en esta capacidad de confianza para poder aplicar funciones y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, ponerlas bajo control.

Para obtener más información sobre el acceso confiable y AWS CloudFormation StackSets, consulte AWS CloudFormationStackSetsy AWS Organizations.

¿Qué sucede durante la inscripción de la cuenta

Durante el proceso de inscripción, AWS Control Tower lleva a cabo las siguientes acciones:

  • Establece la cuenta, que incluye la implementación de estos conjuntos de pilas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Es buena idea revisar las plantillas de estos conjuntos de pilas y asegurarse de que no entren en conflicto con las políticas existentes.

  • Identifica la cuenta mediante AWS IAM Identity Center o AWS Organizations.

  • Coloca la cuenta en la unidad organizativa que ha especificado. Asegúrese de aplicar todos los SCP que se aplican en la unidad organizativa actual, de modo que su posición de seguridad siga siendo coherente.

  • Aplica los controles obligatorios a la cuenta mediante los SCP que se aplican a la OU seleccionada en su conjunto.

  • Lo habilita AWS Config y configura para registrar todos los recursos de la cuenta.

  • Añade a la cuenta AWS Config las reglas que aplican los controles de detective de la Torre de Control Tower de AWS.

Cuentas y registros a nivel de organización CloudTrail

Todas las cuentas de los miembros de una OU se rigen por el AWS CloudTrail registro de la OU, estén inscritas o no:

  • Cuando inscribe una cuenta en AWS Control Tower, su cuenta se rige por el AWS CloudTrail registro de la nueva organización. Si ya tiene una implementación de una versión de CloudTrail seguimiento, es posible que vea cargos duplicados, a menos que elimine la versión de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.

  • Si traslada una cuenta a una unidad organizativa registrada (por ejemplo, mediante la AWS Organizations consola) y no procede a inscribirla en AWS Control Tower, es posible que desee eliminar cualquier rastro restante a nivel de cuenta de la cuenta. Si ya tiene una implementación de una versión de seguimiento, se le cobrarán cargos CloudTrail duplicados. CloudTrail

Si actualizas tu landing zone y decides excluirte de las rutas a nivel de organización, o si tu landing zone es anterior a la versión 3.0, las CloudTrail rutas a nivel de organización no se aplican a tus cuentas.

Inscribir cuentas existentes en VPC

AWS Control Tower gestiona las VPC de forma diferente cuando aprovisiona una nueva cuenta en Account Factory que cuando inscribe una cuenta existente.

  • Al crear una cuenta nueva, AWS Control Tower elimina automáticamente la VPC AWS predeterminada y crea una nueva VPC para esa cuenta.

  • Al inscribir una cuenta existente, AWS Control Tower no crea una nueva VPC para esa cuenta.

  • Al inscribir una cuenta existente, AWS Control Tower no elimina ninguna VPC existente ni ninguna VPC predeterminada AWS asociada a la cuenta.

sugerencia

Puede cambiar el comportamiento predeterminado de las cuentas nuevas configurando Account Factory, de modo que no configure una VPC de forma predeterminada para las cuentas de su organización en AWS Control Tower. Para obtener más información, consulte Cree una cuenta en AWS Control Tower sin una VPC.

¿Qué sucede si la cuenta no cumple los requisitos previos?

Recuerde que, como requisito previo, las cuentas que puedan inscribirse en el gobierno de la Torre de Control de AWS deben formar parte de la misma organización general. Para cumplir con este requisito previo para la inscripción de una cuenta, puede seguir estos pasos preparatorios para trasladar una cuenta a la misma organización que AWS Control Tower.

Pasos preparatorios para incorporar una cuenta a la misma organización que AWS Control Tower

  1. Elimine la cuenta de su organización actual. Si utilizas este método de pago, debes proporcionar un método de pago diferente.

  2. Invite a la cuenta a unirse a la organización de la Torre de Control de AWS. Para obtener más información, consulte Invitar a una AWS cuenta a unirse a su organización en la Guía del AWS Organizations usuario.

  3. Acepta la invitación. La cuenta aparece en la raíz de la organización. Este paso mueve la cuenta a la misma organización que AWS Control Tower y establece los SCP y la facturación unificada.

sugerencia

Puede enviar la invitación a la nueva organización antes de que la cuenta deje de pertenecer a la antigua. La invitación estará pendiente cuando la cuenta abandone oficialmente su organización actual.

Pasos para cumplir los requisitos previos restantes:

  1. Cree el AWSControlTowerExecution rol necesario.

  2. Borre la VPC predeterminada. (Esta parte es opcional. (AWS Control Tower no cambia su VPC predeterminada actual).

  3. Elimine o modifique cualquier grabadora AWS Config de configuración o canal de entrega existente a través de AWS CLI o AWS CloudShell. Para obtener más información, consulte Ejemplos de comandos AWS Config CLI para el estado de los recursos y Inscribir cuentas que cuenten con AWS Config recursos existentes.

Una vez que haya completado estos pasos preparatorios, podrá inscribir la cuenta en AWS Control Tower. Para obtener más información, consulte Pasos para inscribir una cuenta. Este paso lleva la cuenta al gobierno completo de la Torre de Control de AWS.

Pasos opcionales para anular el aprovisionamiento de una cuenta y poder inscribirla y conservar su pila

  1. Para conservar la AWS CloudFormation pila aplicada, elimina la instancia de pila de los conjuntos de pilas y selecciona Conservar pilas para la instancia.

  2. Finalice el producto aprovisionado para la AWS Service Catalog cuenta en Account Factory. (Este paso solo elimina el producto aprovisionado de AWS Control Tower. No elimina la cuenta).

  3. Configura la cuenta con los detalles de facturación necesarios, como se requiere para cualquier cuenta que no pertenezca a una organización. A continuación, elimina la cuenta de la organización. (Si lo haces, la cuenta no se descontará del total de tu AWS Organizations cuota).

  4. Limpia la cuenta si quedan recursos y, después, ciérrala siguiendo los pasos del cierre de la cuentaAnule la administración de una cuenta.

  5. Si tiene una unidad organizativa suspendida con controles definidos, puede mover la cuenta allí en lugar de realizar el paso 1.

Ejemplos de comandos AWS Config CLI para el estado de los recursos

Estos son algunos ejemplos de comandos AWS Config CLI que puede usar para determinar el estado de su grabadora de configuración y canal de entrega.

Comandos de visualización:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La respuesta normal es algo así como "name": "default"

Comandos de eliminación:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Registro automatizado de AWS Organizations cuentas

Puede usar el método de inscripción descrito en una entrada de blog titulada Inscribir AWS cuentas existentes en AWS Control Tower para inscribir sus AWS Organizations cuentas en AWS Control Tower mediante un proceso programático.

La siguiente plantilla de YAML puede ayudarle a crear el rol necesario en una cuenta para poder inscribirla mediante programación.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess