Inscribir cuentas que cuenten con AWS Config recursos existentes - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inscribir cuentas que cuenten con AWS Config recursos existentes

En este tema se proporciona un step-by-step enfoque sobre cómo inscribir cuentas que tienen AWS Config recursos existentes. Para ver ejemplos de cómo comprobar los recursos existentes, consulteEjemplos de AWS Config CLI comandos para el estado de los recursos.

nota

Si planea incorporar AWS las cuentas existentes a la Torre de Control de AWS como cuentas de archivo de auditoría y registro, y si esas cuentas tienen AWS Config recursos existentes, debe eliminar los AWS Config recursos existentes por completo antes de poder inscribirlas en la Torre de Control de AWS con este fin. Para las cuentas que no están destinadas a convertirse en cuentas de archivo de auditoría y registro, puede modificar los recursos de Config existentes.

Ejemplos de AWS Config recursos

Estos son algunos tipos de AWS Config recursos que podría tener ya tu cuenta. Es posible que sea necesario modificar estos recursos para que pueda inscribir su cuenta en AWS Control Tower.

  • AWS Config grabadora

  • AWS Config canal de entrega

  • AWS Config autorización de agregación

Supuestos
  • Ha implementado una zona de aterrizaje de AWS Control Tower

  • Su cuenta aún no está inscrita en AWS Control Tower.

  • Su cuenta tiene al menos un AWS Config recurso preexistente en al menos una de las regiones de AWS Control Tower reguladas por la cuenta de administración.

  • Su cuenta no es la cuenta de administración de AWS Control Tower.

  • Su cuenta no está sujeta a la deriva de la gobernanza.

Para ver un blog que describe un enfoque automatizado para inscribir cuentas con AWS Config recursos existentes, consulte Automatizar la inscripción de cuentas con AWS Config recursos existentes en AWS Control Tower. Podrá enviar un único ticket de soporte para todas las cuentas que desee inscribir, tal y como se describe a continuación. Paso 1: Póngase en contacto con el servicio de atención al cliente con un ticket para añadir la cuenta a la lista de usuarios permitidos de la Torre de Control de AWS

Limitaciones
  • La cuenta solo se puede inscribir mediante el flujo de trabajo de la Torre de Control de AWS para ampliar la gobernanza.

  • Si los recursos se modifican y se produce una desviación en la cuenta, AWS Control Tower no actualiza los recursos.

  • AWS Config los recursos de las regiones que no están gobernadas por la Torre de Control de AWS no se modifican.

nota

Si intentas inscribir una cuenta que tiene recursos de Config existentes sin añadir la cuenta a la lista de permitidos, la inscripción fallará. A partir de entonces, si posteriormente intenta añadir la misma cuenta a la lista de permitidos, AWS Control Tower no podrá validar que la cuenta se haya aprovisionado correctamente. Debe retirar el aprovisionamiento de la cuenta de AWS Control Tower antes de poder solicitar la lista de permitidos e inscribirla. Si solo mueve la cuenta a una unidad organizativa de la Torre de Control de AWS diferente, se produce un error de gobierno, lo que también impide que la cuenta se añada a la lista de permitidos.

Este proceso consta de 5 pasos principales.
  1. Añada la cuenta a la lista de usuarios permitidos de la Torre de Control de AWS.

  2. Cree un nuevo rol de IAM en la cuenta.

  3. Modifique los recursos preexistentes AWS Config .

  4. Crea AWS Config recursos en AWS regiones donde no existan.

  5. Inscriba la cuenta en AWS Control Tower.

Antes de continuar, tenga en cuenta las siguientes expectativas con respecto a este proceso.
  • AWS Control Tower no crea ningún AWS Config recurso en esta cuenta.

  • Tras la inscripción, los controles de la Torre de Control de AWS protegen automáticamente los AWS Config recursos que ha creado, incluida la nueva función de IAM.

  • Si se realiza algún cambio en AWS Config los recursos después de la inscripción, dichos recursos deben actualizarse para que se ajusten a la configuración de AWS Control Tower antes de volver a inscribir la cuenta.

Paso 1: Póngase en contacto con el servicio de atención al cliente con un ticket para añadir la cuenta a la lista de usuarios permitidos de la Torre de Control de AWS

Incluya esta frase en el asunto de su ticket:

Inscriba cuentas que cuenten con AWS Config recursos existentes en AWS Control Tower

Incluya los siguientes detalles en el cuerpo de su ticket:
  • Número de cuenta de administración

  • Números de cuenta de las cuentas de los miembros que tienen AWS Config recursos existentes

  • La región de origen seleccionada para la configuración de la Torre de Control de AWS

nota

El tiempo necesario para añadir su cuenta a la lista de usuarios permitidos es de 2 días laborables.

Paso 2: Crea un nuevo rol de IAM en la cuenta del miembro

  1. Abre la AWS CloudFormation consola de la cuenta de miembro.

  2. Crea una pila nueva con la siguiente plantilla

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
  3. Proporcione el nombre de la pila como CustomerCreatedConfigRecorderRoleForControlTorre

  4. Cree la pila.

nota

Cualquier SCP que cree debe excluir un aws-controltower-ConfigRecorderRole* rol. No modifique los permisos que restringen la capacidad de AWS Config las reglas para realizar evaluaciones.

Siga estas pautas para no recibir una AccessDeniedException cuando tenga SCP que le impidan llamar aws-controltower-ConfigRecorderRole* a Config.

Paso 3: Identifique las AWS regiones con recursos preexistentes

Para cada región gobernada (gobernada por la Torre de Control de AWS) de la cuenta, identifique y anote las regiones que tienen al menos uno de los tipos de ejemplos de AWS Config recursos existentes que se muestran anteriormente.

Paso 4: Identifique las AWS regiones sin AWS Config recursos

Para cada región gobernada (gobernada por la Torre de Control de AWS) de la cuenta, identifique y anote las regiones en las que no hay AWS Config recursos del tipo de ejemplo mostrado anteriormente.

Paso 5: Modifique los recursos existentes en cada AWS región

Para este paso, se necesita la siguiente información sobre la configuración de la Torre de Control de AWS.

  • LOGGING_ACCOUNT- el ID de la cuenta de registro

  • AUDIT_ACCOUNT- el ID de la cuenta de auditoría

  • IAM_ROLE_ARN- el ARN del rol de IAM creado en el paso 1

  • ORGANIZATION_ID- el identificador de la organización de la cuenta de administración

  • MEMBER_ACCOUNT_NUMBER- la cuenta de miembro que se está modificando

  • HOME_REGION- la región de origen para la configuración de la Torre de Control de AWS.

Modifique cada recurso existente siguiendo las instrucciones que figuran en las secciones 5a a 5c, que aparecen a continuación.

Paso 5a. AWS Config recursos de grabadora

Solo puede existir una AWS Config grabadora por AWS región. Si existe una, modifique la configuración como se muestra. Sustituya el artículo GLOBAL_RESOURCE_RECORDING por true en su región de origen. Sustituya el elemento por falso en otras regiones en las que haya una AWS Config grabadora.

  • Nombre: DON'T CHANGE

  • RoLearn: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: cierto

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vacío

Esta modificación se puede realizar a través de la AWS CLI mediante el siguiente comando. Sustituya la cadena RECORDER_NAME por el nombre de la AWS Config grabadora existente.

aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Paso 5b. Modificar los AWS Config recursos del canal de entrega

Solo puede existir un canal de AWS Config entrega por región. Si existe otro, modifique la configuración como se muestra.

  • Nombre: DON'T CHANGE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Horas

  • S3BucketName: El nombre del depósito de registro de la cuenta de registro de la Torre de Control de AWS

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: El ARN del tema de SNS de la cuenta de auditoría, con el siguiente formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Esta modificación se puede realizar a través de la AWS CLI mediante el siguiente comando. Sustituya la cadena DELIVERY_CHANNEL_NAME por el nombre de la AWS Config grabadora existente.

aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Paso 5c. Modificar los recursos AWS Config de autorización de agregación

Pueden existir varias autorizaciones de agregación por región. AWS Control Tower requiere una autorización de agregación que especifique la cuenta de auditoría como la cuenta autorizada y que tenga la región de origen de AWS Control Tower como región autorizada. Si no existe, cree una nueva con la siguiente configuración:

  • AuthorizedAccountId: El ID de la cuenta de auditoría

  • AuthorizedAwsRegion: La región de origen de la configuración de la Torre de Control de AWS

Esta modificación se puede realizar a través de la AWS CLI mediante el siguiente comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Paso 6: Cree recursos donde no existan, en las regiones gobernadas por la Torre de Control de AWS

Revise la AWS CloudFormation plantilla para que en su región de origen el IncludeGlobalResourcesTypesparámetro tenga el valorGLOBAL_RESOURCE_RECORDING, como se muestra en el siguiente ejemplo. Actualice también los campos obligatorios de la plantilla, tal y como se especifica en esta sección.

Sustituya el artículo GLOBAL_RESOURCE_RECORDING por true en su región de origen. Sustituya el elemento por falso en otras regiones en las que haya una AWS Config grabadora.

  1. Navegue hasta la AWS CloudFormation consola de la cuenta de administración.

  2. Crea una nueva StackSet con el nombre CustomerCreatedConfigResourcesForControlTower.

  3. Copia y actualiza la siguiente plantilla:

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION S3KeyPrefix: ORGANIZATION_ID SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId: AUDIT_ACCOUNT AuthorizedAwsRegion: HOME_REGION
    Actualice la plantilla con los campos obligatorios:
    1. En el BucketName campo S3, sustituya los campos LOGGING_ACCOUNT_ID y HOME_REGION

    2. En el KeyPrefix campo S3, sustituya el ORGANIZATION_ID

    3. En el campo SnsTopicARN, sustituya la AUDIT_ACCOUNT

    4. En el AuthorizedAccountIdcampo, sustituya la AUDIT_ACCOUNT

    5. En el AuthorizedAwsRegioncampo, sustituya HOME_REGION

  4. Durante el despliegue en la AWS CloudFormation consola, añada el número de cuenta del miembro.

  5. Agregue las AWS regiones que se identificaron en el paso 4.

  6. Implemente el conjunto de pilas.

Paso 7: Registrar la unidad organizativa en AWS Control Tower

En el panel de control de AWS Control Tower, registre la OU.

nota

El flujo de trabajo de inscripción de la cuenta no se realizará correctamente para esta tarea. Debe elegir Registrar OU o Volver a registrar OU.