Inscripción de cuentas con recursos de AWS Config existentes
En este tema se proporciona un enfoque paso a paso sobre cómo inscribir cuentas con recursos de AWS Config existentes. Para ver ejemplos de cómo comprobar los recursos existentes, consulte Ejemplos de comandos de la CLI de AWS Config para el estado de los recursos.
nota
Si tiene previsto incorporar cuentas de AWS existentes en AWS Control Tower como cuentas de auditoría y de archivo de registro, y si dichas cuentas disponen de recursos de AWS Config existentes, debe eliminar los recursos de AWS Config existentes por completo antes de poder inscribirlas en AWS Control Tower con este fin. En el caso de las cuentas que no vayan a convertirse en cuentas de auditoría y de archivo de registro, puede modificar los recursos de configuración existentes.
Ejemplos de recursos de AWS Config
Estos son algunos tipos de recursos de AWS Config de los que podría disponer ya la cuenta. Es posible que sea tenga que modificar estos recursos para poder inscribir la cuenta en AWS Control Tower.
-
Grabador de AWS Config
-
Canal de entrega de AWS Config
-
Autorización de agregación de AWS Config
Supuestos
-
Ha implementado una zona de aterrizaje de AWS Control Tower
-
La cuenta aún no está inscrita en AWS Control Tower.
-
La cuenta tiene al menos un recurso de AWS Config preexistente en al menos una de las regiones de AWS Control Tower gobernadas por la cuenta de administración.
-
La cuenta no es la cuenta de administración de AWS Control Tower.
-
La cuenta no se encuentra en desviación de la gobernanza.
Para ver un blog en el que se describe un enfoque automatizado para inscribir cuentas con recursos de AWS Config existentes, consulte Automate enrollment of accounts with existing AWS Config resources into AWS Control Tower
Limitaciones
-
La cuenta solo se puede inscribir mediante el flujo de trabajo de AWS Control Tower para ampliar la gobernanza.
-
Si los recursos se modifican y se produce una desviación en la cuenta, AWS Control Tower no actualiza los recursos.
-
Los recursos de AWS Config en regiones que no están gobernadas por AWS Control Tower no se modifican.
nota
Si intenta inscribir una cuenta que tiene recursos de configuración existentes sin haber añadido la cuenta a la lista de permitidos, se producirá un error en la inscripción. Si posteriormente intenta añadir la misma cuenta a la lista de permitidos, AWS Control Tower no podrá validar que la cuenta se ha aprovisionado correctamente. Debe desaprovisionar la cuenta desde AWS Control Tower antes de poder solicitar la lista de permitidos e inscribirla. Si únicamente traslada la cuenta a una OU de AWS Control Tower diferente, se produce una desviación de la gobernanza, lo que también impide que la cuenta se añada a la lista de permitidos.
Este proceso consta de 5 pasos principales.
-
Añada la cuenta a la lista de permitidos de AWS Control Tower.
-
Cree un rol de IAM nuevo en la cuenta.
-
Modifique los recursos de AWS Config preexistentes.
-
Cree recursos de AWS Config en regiones de AWS donde no existan.
-
Inscriba la cuenta en AWS Control Tower.
Antes de continuar, tenga en cuenta las siguientes expectativas con respecto a este proceso.
-
AWS Control Tower no crea ningún recurso de AWS Config en esta cuenta.
-
Tras la inscripción, los controles de AWS Control Tower protegen automáticamente los recursos de AWS Config creados, incluida el nuevo rol de IAM.
-
Si se realiza algún cambio en los recursos de AWS Config después de la inscripción, dichos recursos deben actualizarse para que se ajusten a la configuración de AWS Control Tower antes de que pueda volver a inscribir la cuenta.
Paso 1: contacto con el servicio de atención al cliente mediante un ticket para añadir la cuenta a la lista de permitidos de AWS Control Tower
Incluya esta frase en el asunto del ticket:
Inscripción de cuentas con recursos de AWS Config existentes en AWS Control Tower
Incluya los siguientes detalles en el cuerpo del ticket:
-
Número de cuenta de administración
-
Números de cuenta de las cuentas de miembro con recursos de AWS Config existentes
-
La región de origen seleccionada para la configuración de AWS Control Tower
nota
El plazo necesario para añadir la cuenta a la lista de permitidos es de 2 días laborables.
Paso 2: creación de un nuevo rol de IAM en la cuenta de miembro
-
Abra la consola de AWS CloudFormation de la cuenta de miembro.
-
Cree una pila nueva con la siguiente plantilla
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
-
Proporcione a la pila el nombre CustomerCreatedConfigRecorderRoleForControlTower
-
Cree la pila.
nota
Cualquier SCP que cree debe excluir un rol aws-controltower-ConfigRecorderRole*
. No modifique los permisos que restringen la capacidad de las reglas de AWS Config para realizar evaluaciones.
Siga estas directrices para no recibir una AccessDeniedException
cuando tenga SCP que impidan a aws-controltower-ConfigRecorderRole*
llamar a Config.
Paso 3: identificación de las regiones de AWS con recursos preexistentes
En cada región gobernada (gobernada por AWS Control Tower) de la cuenta, identifique y anote las regiones que tengan al menos uno de los tipos de ejemplo de recursos existentes de AWS Config mostrados anteriormente.
Paso 4: identificación de las regiones de AWS sin recursos de AWS Config
En cada región gobernada (gobernada por AWS Control Tower) de la cuenta, identifique y anote las regiones en las que no haya recursos de AWS Config de los tipos de ejemplo mostrados anteriormente.
Paso 5: modificación de los recursos existentes en cada región de AWS
Para este paso, se necesita la siguiente información sobre la configuración de AWS Control Tower.
-
LOGGING_ACCOUNT
: el ID de la cuenta de registro -
AUDIT_ACCOUNT
: el ID de la cuenta de auditoría -
IAM_ROLE_ARN
: el ARN del rol de IAM creado en el paso 1 -
ORGANIZATION_ID
: el ID de la cuenta de administración de la organización -
MEMBER_ACCOUNT_NUMBER
: la cuenta de miembro que se está modificando -
HOME_REGION
: la región de origen para la configuración de AWS Control Tower.
Modifique cada uno de los recursos existentes siguiendo las instrucciones de las secciones 5a a 5c que aparecen a continuación.
Paso 5a. Recursos del grabador de AWS Config
Solo puede existir un grabador de AWS Config por región de AWS. Si existe uno, modifique la configuración tal y como se muestra. Sustituya el elemento GLOBAL_RESOURCE_RECORDING
por verdadero en la región de origen. Sustituya el elemento por falso en las demás regiones en las que haya un grabador de AWS Config.
-
Name: NO CAMBIAR
-
RoleARN:
IAM_ROLE_ARN
-
RecordingGroup:
-
AllSupported: verdadero
-
IncludeGlobalResourceTypes:
GLOBAL_RESOURCE_RECORDING
-
ResourceTypes: vacío
-
Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando. Sustituya la cadena RECORDER_NAME
por el nombre del grabador de AWS Config existente.
aws configservice put-configuration-recorder --configuration-recorder name=
RECORDER_NAME
,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER
:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING
--regionCURRENT_REGION
Paso 5b. Modificación de los recursos del canal de entrega de AWS Config
Solo puede existir un canal de entrega de AWS Config por región. Si existe otro, modifique la configuración tal y como se muestra.
-
Name: NO CAMBIAR
-
ConfigSnapshotDeliveryProperties: TwentyFour_Hours
-
S3BucketName: el nombre del bucket de registro de la cuenta de registro de AWS Control Tower
aws-controltower-logs-
LOGGING_ACCOUNT
-HOME_REGION
-
S3KeyPrefix:
ORGANIZATION_ID
-
SnsTopicARN: el ARN del tema de SNS de la cuenta de auditoría, con el siguiente formato:
arn:aws:sns:
CURRENT_REGION
:AUDIT_ACCOUNT
:aws-controltower-AllConfigNotifications
Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando. Sustituya la cadena
por el nombre del grabador de AWS Config existente.DELIVERY_CHANNEL_NAME
aws configservice put-delivery-channel --delivery-channel name=
DELIVERY_CHANNEL_NAME
,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID
-HOME_REGION
,s3KeyPrefix="ORGANIZATION_ID
",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION
:AUDIT_ACCOUNT
:aws-controltower-AllConfigNotifications --regionCURRENT_REGION
Paso 5c. Modificación de los recursos de autorización de agregación de AWS Config
Pueden existir varias autorizaciones de agregación por región. AWS Control Tower requiere una autorización de agregación que especifique la cuenta de auditoría como cuenta autorizada y que tenga la región de origen de AWS Control Tower como región autorizada. Si no existe, cree una nueva con la siguiente configuración:
-
AuthorizedAccountId: el ID de la cuenta de auditoría
-
AuthorizedAwsRegion: la región de origen de la configuración de AWS Control Tower
Esta modificación se puede realizar mediante la CLI de AWS con el siguiente comando:
aws configservice put-aggregation-authorization --authorized-account-id
AUDIT_ACCOUNT_ID
--authorized-aws-region
HOME_REGION
--region
CURRENT_REGION
Paso 6: creación de recursos donde no existen, en regiones gobernadas por AWS Control Tower
Revise la plantilla de AWS CloudFormation para que en la región de origen el parámetro IncludeGlobalResourceTypes tenga el valor GLOBAL_RESOURCE_RECORDING
, tal y como se muestra en el ejemplo siguiente. Actualice también los campos obligatorios de la plantilla, tal y como se especifica en esta sección.
Sustituya el elemento GLOBAL_RESOURCE_RECORDING
por verdadero en la región de origen. Sustituya el elemento por falso en las demás regiones en las que haya un grabador de AWS Config.
-
Vaya a la consola de AWS CloudFormation de la cuenta de administración.
-
Cree un nuevo StackSet con el nombre CustomerCreatedConfigResourcesForControlTower.
-
Copie y actualice la siguiente plantilla:
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes:
GLOBAL_RESOURCE_RECORDING
ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT
-HOME_REGION
S3KeyPrefix:ORGANIZATION_ID
SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT
:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId:AUDIT_ACCOUNT
AuthorizedAwsRegion:HOME_REGION
Actualice la plantilla con los campos obligatorios:
-
En el campo S3BucketName, sustituya
LOGGING_ACCOUNT_ID
yHOME_REGION
-
En el campo S3KeyPrefix, sustituya
ORGANIZATION_ID
-
En el campo SnsTopicARN, sustituya
AUDIT_ACCOUNT
-
En el campo AuthorizedAccountId, sustituya
AUDIT_ACCOUNT
-
En el campo AuthorizedAwsRegion, sustituya
HOME_REGION
-
-
Durante la implementación en la consola de AWS CloudFormation, añada el número de cuenta de miembro.
-
Añada las regiones de AWS identificadas en el paso 4.
-
Implemente el conjunto de pilas.
Paso 7: registro de la OU en AWS Control Tower
Registre la OU en el panel de AWS Control Tower.
nota
El flujo de trabajo Inscribir la cuenta no se realizará correctamente para esta tarea. Debe seleccionar Registrar OU o Volver a registrar la OU.