Inscripción de cuentas con recursos de AWS Config existentes - AWS Control Tower

Inscripción de cuentas con recursos de AWS Config existentes

En este tema se proporciona un enfoque paso a paso sobre cómo inscribir cuentas con recursos de AWS Config existentes. Para ver ejemplos de cómo comprobar los recursos existentes, consulte Ejemplos de comandos de la CLI de AWS Config para el estado de los recursos.

nota

Si tiene previsto incorporar cuentas de AWS existentes en AWS Control Tower como cuentas de auditoría y de archivo de registro, y si dichas cuentas disponen de recursos de AWS Config existentes, debe eliminar los recursos de AWS Config existentes por completo antes de poder inscribirlas en AWS Control Tower con este fin. En el caso de las cuentas que no vayan a convertirse en cuentas de auditoría y de archivo de registro, puede modificar los recursos de configuración existentes.

Ejemplos de recursos de AWS Config

Estos son algunos tipos de recursos de AWS Config de los que podría disponer ya la cuenta. Es posible que sea tenga que modificar estos recursos para poder inscribir la cuenta en AWS Control Tower.

  • Grabador de AWS Config

  • Canal de entrega de AWS Config

  • Autorización de agregación de AWS Config

Supuestos
  • Ha implementado una zona de aterrizaje de AWS Control Tower

  • La cuenta aún no está inscrita en AWS Control Tower.

  • La cuenta tiene al menos un recurso de AWS Config preexistente en al menos una de las regiones de AWS Control Tower gobernadas por la cuenta de administración.

  • La cuenta no es la cuenta de administración de AWS Control Tower.

  • La cuenta no se encuentra en desviación de la gobernanza.

Para ver un blog en el que se describe un enfoque automatizado para inscribir cuentas con recursos de AWS Config existentes, consulte Automate enrollment of accounts with existing AWS Config resources into AWS Control Tower. Podrá enviar un único ticket de soporte para todas las cuentas que desee inscribir, tal y como se describe a continuación en Paso 1: contacto con el servicio de atención al cliente mediante un ticket para añadir la cuenta a la lista de permitidos de AWS Control Tower.

Limitaciones
  • La cuenta solo se puede inscribir mediante el flujo de trabajo de AWS Control Tower para ampliar la gobernanza.

  • Si los recursos se modifican y se produce una desviación en la cuenta, AWS Control Tower no actualiza los recursos.

  • Los recursos de AWS Config en regiones que no están gobernadas por AWS Control Tower no se modifican.

nota

Si intenta inscribir una cuenta que tiene recursos de configuración existentes sin haber añadido la cuenta a la lista de permitidos, se producirá un error en la inscripción. Si posteriormente intenta añadir la misma cuenta a la lista de permitidos, AWS Control Tower no podrá validar que la cuenta se ha aprovisionado correctamente. Debe desaprovisionar la cuenta desde AWS Control Tower antes de poder solicitar la lista de permitidos e inscribirla. Si únicamente traslada la cuenta a una OU de AWS Control Tower diferente, se produce una desviación de la gobernanza, lo que también impide que la cuenta se añada a la lista de permitidos.

Este proceso consta de 5 pasos principales.
  1. Añada la cuenta a la lista de permitidos de AWS Control Tower.

  2. Cree un rol de IAM nuevo en la cuenta.

  3. Modifique los recursos de AWS Config preexistentes.

  4. Cree recursos de AWS Config en regiones de AWS donde no existan.

  5. Inscriba la cuenta en AWS Control Tower.

Antes de continuar, tenga en cuenta las siguientes expectativas con respecto a este proceso.
  • AWS Control Tower no crea ningún recurso de AWS Config en esta cuenta.

  • Tras la inscripción, los controles de AWS Control Tower protegen automáticamente los recursos de AWS Config creados, incluida el nuevo rol de IAM.

  • Si se realiza algún cambio en los recursos de AWS Config después de la inscripción, dichos recursos deben actualizarse para que se ajusten a la configuración de AWS Control Tower antes de que pueda volver a inscribir la cuenta.

Paso 1: contacto con el servicio de atención al cliente mediante un ticket para añadir la cuenta a la lista de permitidos de AWS Control Tower

Incluya esta frase en el asunto del ticket:

Inscripción de cuentas con recursos de AWS Config existentes en AWS Control Tower

Incluya los siguientes detalles en el cuerpo del ticket:
  • Número de cuenta de administración

  • Números de cuenta de las cuentas de miembro con recursos de AWS Config existentes

  • La región de origen seleccionada para la configuración de AWS Control Tower

nota

El plazo necesario para añadir la cuenta a la lista de permitidos es de 2 días laborables.

Paso 2: creación de un nuevo rol de IAM en la cuenta de miembro

  1. Abra la consola de AWS CloudFormation de la cuenta de miembro.

  2. Cree una pila nueva con la siguiente plantilla

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
  3. Proporcione a la pila el nombre CustomerCreatedConfigRecorderRoleForControlTower

  4. Cree la pila.

nota

Cualquier SCP que cree debe excluir un rol aws-controltower-ConfigRecorderRole*. No modifique los permisos que restringen la capacidad de las reglas de AWS Config para realizar evaluaciones.

Siga estas directrices para no recibir una AccessDeniedException cuando tenga SCP que impidan a aws-controltower-ConfigRecorderRole* llamar a Config.

Paso 3: identificación de las regiones de AWS con recursos preexistentes

En cada región gobernada (gobernada por AWS Control Tower) de la cuenta, identifique y anote las regiones que tengan al menos uno de los tipos de ejemplo de recursos existentes de AWS Config mostrados anteriormente.

Paso 4: identificación de las regiones de AWS sin recursos de AWS Config

En cada región gobernada (gobernada por AWS Control Tower) de la cuenta, identifique y anote las regiones en las que no haya recursos de AWS Config de los tipos de ejemplo mostrados anteriormente.

Paso 5: modificación de los recursos existentes en cada región de AWS

Para este paso, se necesita la siguiente información sobre la configuración de AWS Control Tower.

  • LOGGING_ACCOUNT: el ID de la cuenta de registro

  • AUDIT_ACCOUNT: el ID de la cuenta de auditoría

  • IAM_ROLE_ARN: el ARN del rol de IAM creado en el paso 1

  • ORGANIZATION_ID: el ID de la cuenta de administración de la organización

  • MEMBER_ACCOUNT_NUMBER: la cuenta de miembro que se está modificando

  • HOME_REGION: la región de origen para la configuración de AWS Control Tower.

Modifique cada uno de los recursos existentes siguiendo las instrucciones de las secciones 5a a 5c que aparecen a continuación.

Paso 5a. Recursos del grabador de AWS Config

Solo puede existir un grabador de AWS Config por región de AWS. Si existe uno, modifique la configuración tal y como se muestra. Sustituya el elemento GLOBAL_RESOURCE_RECORDING por verdadero en la región de origen. Sustituya el elemento por falso en las demás regiones en las que haya un grabador de AWS Config.

  • Name: NO CAMBIAR

  • RoleARN: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: verdadero

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: vacío

Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando. Sustituya la cadena RECORDER_NAME por el nombre del grabador de AWS Config existente.

aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Paso 5b. Modificación de los recursos del canal de entrega de AWS Config

Solo puede existir un canal de entrega de AWS Config por región. Si existe otro, modifique la configuración tal y como se muestra.

  • Name: NO CAMBIAR

  • ConfigSnapshotDeliveryProperties: TwentyFour_Hours

  • S3BucketName: el nombre del bucket de registro de la cuenta de registro de AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: el ARN del tema de SNS de la cuenta de auditoría, con el siguiente formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando. Sustituya la cadena DELIVERY_CHANNEL_NAME por el nombre del grabador de AWS Config existente.

aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Paso 5c. Modificación de los recursos de autorización de agregación de AWS Config

Pueden existir varias autorizaciones de agregación por región. AWS Control Tower requiere una autorización de agregación que especifique la cuenta de auditoría como cuenta autorizada y que tenga la región de origen de AWS Control Tower como región autorizada. Si no existe, cree una nueva con la siguiente configuración:

  • AuthorizedAccountId: el ID de la cuenta de auditoría

  • AuthorizedAwsRegion: la región de origen de la configuración de AWS Control Tower

Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Paso 6: creación de recursos donde no existen, en regiones gobernadas por AWS Control Tower

Revise la plantilla de AWS CloudFormation para que en la región de origen el parámetro IncludeGlobalResourceTypes tenga el valor GLOBAL_RESOURCE_RECORDING, tal y como se muestra en el ejemplo siguiente. Actualice también los campos obligatorios de la plantilla, tal y como se especifica en esta sección.

Sustituya el elemento GLOBAL_RESOURCE_RECORDING por verdadero en la región de origen. Sustituya el elemento por falso en las demás regiones en las que haya un grabador de AWS Config.

  1. Vaya a la consola de AWS CloudFormation de la cuenta de administración.

  2. Cree un nuevo StackSet con el nombre CustomerCreatedConfigResourcesForControlTower.

  3. Copie y actualice la siguiente plantilla:

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION S3KeyPrefix: ORGANIZATION_ID SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId: AUDIT_ACCOUNT AuthorizedAwsRegion: HOME_REGION
    Actualice la plantilla con los campos obligatorios:
    1. En el campo S3BucketName, sustituya LOGGING_ACCOUNT_ID y HOME_REGION

    2. En el campo S3KeyPrefix, sustituya ORGANIZATION_ID

    3. En el campo SnsTopicARN, sustituya AUDIT_ACCOUNT

    4. En el campo AuthorizedAccountId, sustituya AUDIT_ACCOUNT

    5. En el campo AuthorizedAwsRegion, sustituya HOME_REGION

  4. Durante la implementación en la consola de AWS CloudFormation, añada el número de cuenta de miembro.

  5. Añada las regiones de AWS identificadas en el paso 4.

  6. Implemente el conjunto de pilas.

Paso 7: registro de la OU en AWS Control Tower

Registre la OU en el panel de AWS Control Tower.

nota

El flujo de trabajo Inscribir la cuenta no se realizará correctamente para esta tarea. Debe seleccionar Registrar OU o Volver a registrar la OU.