Daftarkan yang sudah ada Akun AWS - AWS Control Tower
Apa yang terjadi selama pendaftaran akunMendaftarkan akun yang ada dengan VPCBagaimana jika akun tidak memenuhi prasyarat?Contoh perintah AWS Config CLI untuk status sumber dayaPendaftaran akun otomatis AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan yang sudah ada Akun AWS

Anda dapat memperluas tata kelola AWS Control Tower ke individu, yang ada Akun AWS saat Anda mendaftarkannya ke unit organisasi (OU) yang sudah diatur oleh AWS Control Tower. Akun yang memenuhi syarat ada di OU yang tidak terdaftar yang merupakan bagian dari AWS Organizations organisasi yang sama dengan AWS Control Tower OU.

catatan

Anda tidak dapat mendaftarkan akun yang ada untuk dijadikan akun audit atau arsip log Anda kecuali selama penyiapan landing zone awal.

Siapkan akses tepercaya terlebih dahulu

Sebelum Anda dapat mendaftarkan yang sudah ada Akun AWS ke AWS Control Tower, Anda harus memberikan izin kepada AWS Control Tower untuk mengelola, atau mengatur, akun tersebut. Secara khusus, AWS Control Tower memerlukan izin untuk membuat akses tepercaya antara AWS CloudFormation dan AWS Organizations atas nama Anda, sehingga AWS CloudFormation dapat menerapkan tumpukan Anda secara otomatis ke akun di organisasi yang Anda pilih. Dengan akses tepercaya ini, AWSControlTowerExecution peran melakukan aktivitas yang diperlukan untuk mengelola setiap akun. Itu sebabnya Anda harus menambahkan peran ini ke setiap akun sebelum Anda mendaftarkannya.

Ketika akses tepercaya diaktifkan, AWS CloudFormation dapat membuat, memperbarui, atau menghapus tumpukan di beberapa akun dan Wilayah AWS dengan satu operasi. AWS Control Tower mengandalkan kemampuan kepercayaan ini sehingga dapat menerapkan peran dan izin ke akun yang ada sebelum memindahkannya ke unit organisasi terdaftar, dan dengan demikian membawa mereka di bawah tata kelola.

Untuk mempelajari lebih lanjut tentang akses tepercaya dan AWS CloudFormation StackSets, lihat AWS CloudFormationStackSetsdan AWS Organizations.

Apa yang terjadi selama pendaftaran akun

Selama proses pendaftaran, AWS Control Tower melakukan tindakan berikut:

  • Memberi dasar akun, yang mencakup penerapan kumpulan tumpukan ini:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Sebaiknya tinjau templat kumpulan tumpukan ini dan pastikan templat tersebut tidak bertentangan dengan kebijakan Anda yang ada.

  • Mengidentifikasi akun melalui AWS IAM Identity Center atau AWS Organizations.

  • Menempatkan akun ke dalam OU yang telah Anda tentukan. Pastikan untuk menerapkan semua SCP yang diterapkan di OU saat ini, sehingga postur keamanan Anda tetap konsisten.

  • Menerapkan kontrol wajib ke akun melalui SCP yang berlaku untuk OU yang dipilih secara keseluruhan.

  • Mengaktifkan AWS Config dan mengonfigurasinya untuk merekam semua sumber daya di akun.

  • Menambahkan AWS Config aturan yang menerapkan kontrol detektif AWS Control Tower ke akun.

Akun dan jejak tingkat organisasi CloudTrail

Semua akun anggota dalam OU diatur oleh AWS CloudTrail jejak untuk OU, terdaftar atau tidak:

  • Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi baru. Jika Anda memiliki penerapan CloudTrail jejak yang sudah ada, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower.

  • Jika Anda memindahkan akun ke OU terdaftar—misalnya melalui AWS Organizations konsol—dan Anda tidak melanjutkan untuk mendaftarkan akun ke AWS Control Tower, Anda mungkin ingin menghapus jejak tingkat akun yang tersisa untuk akun tersebut. Jika Anda memiliki penyebaran CloudTrail jejak yang ada, Anda akan dikenakan biaya duplikat CloudTrail .

Jika Anda memperbarui landing zone dan memilih untuk keluar dari jalur tingkat organisasi, atau jika landing zone Anda lebih tua dari versi 3.0, CloudTrail jejak tingkat organisasi tidak berlaku untuk akun Anda.

Mendaftarkan akun yang ada dengan VPC

AWS Control Tower menangani VPC secara berbeda saat Anda menyediakan akun baru di Account Factory dibandingkan saat Anda mendaftarkan akun yang sudah ada.

  • Saat Anda membuat akun baru, AWS Control Tower secara otomatis menghapus VPC AWS default dan membuat VPC baru untuk akun tersebut.

  • Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak membuat VPC baru untuk akun tersebut.

  • Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak menghapus VPC yang ada atau VPC AWS default yang terkait dengan akun tersebut.

Tip

Anda dapat mengubah perilaku default untuk akun baru dengan mengonfigurasi Account Factory, sehingga tidak menyiapkan VPC secara default untuk akun di organisasi Anda di bawah AWS Control Tower. Untuk informasi selengkapnya, lihat Membuat Akun di AWS Control Tower Tanpa VPC.

Bagaimana jika akun tidak memenuhi prasyarat?

Ingatlah bahwa, sebagai prasyarat, akun yang memenuhi syarat untuk terdaftar dalam tata kelola AWS Control Tower harus menjadi bagian dari keseluruhan organisasi yang sama. Untuk memenuhi prasyarat pendaftaran akun ini, Anda dapat mengikuti langkah-langkah persiapan ini untuk memindahkan akun ke organisasi yang sama dengan AWS Control Tower.

Langkah-langkah persiapan untuk membawa akun ke organisasi yang sama dengan AWS Control Tower

  1. Jatuhkan akun dari organisasi yang ada. Anda harus menyediakan metode pembayaran terpisah jika Anda menggunakan pendekatan ini.

  2. Undang akun untuk bergabung dengan organisasi AWS Control Tower. Untuk informasi selengkapnya, lihat Mengundang AWS akun untuk bergabung dengan organisasi Anda di Panduan AWS Organizations Pengguna.

  3. Terima undangannya. Akun muncul di akar organisasi. Langkah ini memindahkan akun ke organisasi yang sama dengan AWS Control Tower. dan menetapkan SCP dan penagihan konsolidasi.

Tip

Anda dapat mengirim undangan untuk organisasi baru sebelum akun keluar dari organisasi lama. Undangan akan menunggu ketika akun secara resmi keluar dari organisasi yang ada.

Langkah-langkah untuk memenuhi prasyarat yang tersisa:

  1. Buat AWSControlTowerExecution peran yang diperlukan.

  2. Hapus VPC default. (Bagian ini opsional. AWS Control Tower tidak mengubah VPC default yang ada.)

  3. Menghapus atau memodifikasi perekam AWS Config konfigurasi atau saluran pengiriman yang ada melalui AWS CLI atau AWS CloudShell. Untuk informasi selengkapnya, lihat Contoh perintah AWS Config CLI untuk status sumber daya dan Daftarkan akun yang memiliki sumber daya yang ada AWS Config

Setelah Anda menyelesaikan langkah-langkah persiapan ini, Anda dapat mendaftarkan akun ke AWS Control Tower. Untuk informasi selengkapnya, lihat Langkah-langkah untuk mendaftarkan akun. Langkah ini membawa akun ke dalam tata kelola AWS Control Tower penuh.

Langkah-langkah opsional untuk menghentikan penyediaan akun, sehingga dapat didaftarkan dan menyimpan tumpukannya

  1. Untuk menjaga AWS CloudFormation tumpukan yang diterapkan, hapus instance tumpukan dari kumpulan tumpukan, dan pilih Pertahankan tumpukan untuk instance.

  2. Mengakhiri produk yang disediakan akun di Account Factory AWS Service Catalog . (Langkah ini hanya menghapus produk yang disediakan dari AWS Control Tower. Itu tidak menghapus akun.)

  3. Siapkan akun dengan detail penagihan yang diperlukan, seperti yang diperlukan untuk akun apa pun yang bukan milik organisasi. Kemudian hapus akun dari organisasi. (Anda melakukan ini, sehingga akun tidak dihitung terhadap total AWS Organizations kuota Anda.)

  4. Bersihkan akun jika sumber daya tetap ada, lalu tutup, mengikuti langkah-langkah penutupan akunBatalkan kelola akun.

  5. Jika Anda memiliki OU yang Ditangguhkan dengan kontrol yang ditentukan, Anda dapat memindahkan akun ke sana alih-alih melakukan Langkah 1.

Contoh perintah AWS Config CLI untuk status sumber daya

Berikut adalah beberapa contoh perintah AWS Config CLI yang dapat Anda gunakan untuk menentukan status perekam konfigurasi dan saluran pengiriman Anda.

Lihat perintah:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

Respon normal adalah sesuatu seperti "name": "default"

Hapus perintah:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Pendaftaran akun otomatis AWS Organizations

Anda dapat menggunakan metode pendaftaran yang dijelaskan dalam posting blog yang disebut Daftarkan akun yang ada ke AWS Control Tower untuk mendaftarkan AWSAWS Organizations akun Anda ke AWS Control Tower dengan proses terprogram.

Template YAMM berikut dapat membantu Anda dalam membuat peran yang diperlukan dalam akun, sehingga dapat didaftarkan secara terprogram.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess