Daftarkan akun yang memiliki sumber daya yang ada AWS Config - AWS Control Tower
Langkah 1: Hubungi dukungan pelanggan dengan tiket, untuk menambahkan akun ke daftar izin AWS Control TowerLangkah 2: Buat peran IAM baru di akun anggota Langkah 3: Identifikasi AWS Daerah dengan sumber daya yang sudah ada sebelumnya Langkah 4: Identifikasi AWS Daerah tanpa AWS Config sumber daya apa punLangkah 5: Ubah sumber daya yang ada di setiap AWS WilayahLangkah 5a. AWS Config sumber daya perekamLangkah 5b. Memodifikasi sumber daya saluran AWS Config pengiriman Langkah 5c. Memodifikasi AWS Config sumber daya otorisasi agregasiLangkah 6: Buat sumber daya yang tidak ada, di Wilayah yang diatur oleh AWS Control Tower Langkah 7: Daftarkan OU dengan AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan akun yang memiliki sumber daya yang ada AWS Config

Topik ini memberikan step-by-step pendekatan untuk cara mendaftarkan akun yang memiliki AWS Config sumber daya yang ada. Untuk contoh cara memeriksa sumber daya yang ada, lihatContoh perintah AWS Config CLI untuk status sumber daya.

catatan

Jika Anda berencana untuk membawa AWS akun yang ada ke AWS Control Tower sebagai akun Audit dan Arsip Log, dan jika akun tersebut memiliki AWS Config sumber daya yang ada, Anda harus menghapus AWS Config sumber daya yang ada sepenuhnya, sebelum Anda dapat mendaftarkan akun ini ke AWS Control Tower untuk tujuan ini. Untuk akun yang tidak dimaksudkan untuk menjadi akun Audit dan Arsip Log, Anda dapat mengubah sumber daya Config yang ada.

Contoh sumber AWS Config daya

Berikut adalah beberapa jenis AWS Config sumber daya yang mungkin sudah dimiliki akun Anda. Sumber daya ini mungkin perlu dimodifikasi agar Anda dapat mendaftarkan akun Anda ke AWS Control Tower.

  • AWS Config perekam

  • AWS Config saluran pengiriman

  • AWS Config otorisasi agregasi

Asumsi

  • Anda telah menerapkan landing zone AWS Control Tower

  • Akun Anda belum terdaftar dengan AWS Control Tower.

  • Akun Anda memiliki setidaknya satu AWS Config sumber daya yang sudah ada sebelumnya di setidaknya satu Wilayah AWS Control Tower yang diatur oleh akun manajemen.

  • Akun Anda bukan akun manajemen AWS Control Tower.

  • Akun Anda tidak dalam penyimpangan tata kelola.

Untuk blog yang menjelaskan pendekatan otomatis untuk mendaftarkan akun dengan sumber daya yang ada, lihat Mengotomatiskan pendaftaran akun dengan AWS Config sumber daya yang ada AWS Config ke AWS Control Tower. Anda akan dapat mengirimkan tiket dukungan tunggal untuk semua akun yang ingin Anda daftarkan, seperti yang dijelaskan dalamLangkah 1: Hubungi dukungan pelanggan dengan tiket, untuk menambahkan akun ke daftar izin AWS Control Tower, yang berikut.

Batasan

  • Akun hanya dapat didaftarkan dengan menggunakan alur kerja AWS Control Tower untuk memperluas tata kelola.

  • Jika sumber daya dimodifikasi dan membuat drift di akun, AWS Control Tower tidak memperbarui sumber daya.

  • AWS Config sumber daya di Wilayah yang tidak diatur oleh AWS Control Tower tidak diubah.

catatan

Jika Anda mencoba mendaftarkan akun yang memiliki sumber daya Config yang ada, tanpa akun ditambahkan ke daftar izin, pendaftaran akan gagal. Setelah itu, jika Anda kemudian mencoba menambahkan akun yang sama ke daftar izin, AWS Control Tower tidak dapat memvalidasi bahwa akun tersebut disediakan dengan benar. Anda harus membatalkan penyediaan akun dari AWS Control Tower sebelum Anda dapat meminta daftar izin dan kemudian mendaftarkannya. Jika Anda hanya memindahkan akun ke AWS Control Tower OU yang berbeda, hal itu menyebabkan penyimpangan tata kelola, yang juga mencegah akun ditambahkan ke daftar izin.

Proses ini memiliki 5 langkah utama.

  1. Tambahkan akun ke daftar izin AWS Control Tower.

  2. Buat peran IAM baru di akun.

  3. Memodifikasi AWS Config sumber daya yang sudah ada sebelumnya.

  4. Buat AWS Config sumber daya di AWS Wilayah yang tidak ada.

  5. Daftarkan akun dengan AWS Control Tower.

Sebelum Anda melanjutkan, pertimbangkan harapan berikut mengenai proses ini.

  • AWS Control Tower tidak membuat AWS Config sumber daya apa pun di akun ini.

  • Setelah pendaftaran, AWS Control Tower mengontrol secara otomatis melindungi AWS Config sumber daya yang Anda buat, termasuk peran IAM baru.

  • Jika ada perubahan yang dilakukan pada AWS Config sumber daya setelah pendaftaran, sumber daya tersebut harus diperbarui agar selaras dengan pengaturan AWS Control Tower sebelum Anda dapat mendaftarkan ulang akun.

Langkah 1: Hubungi dukungan pelanggan dengan tiket, untuk menambahkan akun ke daftar izin AWS Control Tower

Sertakan frasa ini di baris subjek tiket Anda:

Daftarkan akun yang memiliki AWS Config sumber daya yang ada ke AWS Control Tower

Sertakan detail berikut di badan tiket Anda:

  • Nomor akun manajemen

  • Nomor akun akun anggota yang memiliki AWS Config sumber daya yang ada

  • Wilayah beranda pilihan Anda untuk penyiapan AWS Control Tower

catatan

Waktu yang diperlukan untuk menambahkan akun Anda ke daftar izin adalah 2 hari kerja.

Langkah 2: Buat peran IAM baru di akun anggota

  1. Buka AWS CloudFormation konsol untuk akun anggota.

  2. Buat tumpukan baru menggunakan template berikut

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Berikan nama untuk tumpukan sebagai CustomerCreatedConfigRecorderRoleForControlTower

  4. Buat tumpukan.

catatan

SCP apa pun yang Anda buat harus mengecualikan aws-controltower-ConfigRecorderRole* peran. Jangan mengubah izin yang membatasi kemampuan AWS Config aturan untuk melakukan evaluasi.

Ikuti panduan ini sehingga Anda tidak menerima AccessDeniedException ketika Anda memiliki SCP yang aws-controltower-ConfigRecorderRole* memblokir panggilan Config.

Langkah 3: Identifikasi AWS Daerah dengan sumber daya yang sudah ada sebelumnya

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah yang memiliki setidaknya satu jenis contoh AWS Config sumber daya yang ada yang ditampilkan sebelumnya.

Langkah 4: Identifikasi AWS Daerah tanpa AWS Config sumber daya apa pun

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah di mana tidak ada AWS Config sumber daya dari jenis contoh yang ditampilkan sebelumnya.

Langkah 5: Ubah sumber daya yang ada di setiap AWS Wilayah

Untuk langkah ini, informasi berikut diperlukan tentang penyiapan AWS Control Tower Anda.

  • LOGGING_ACCOUNT- ID akun Logging

  • AUDIT_ACCOUNT- ID akun Audit

  • IAM_ROLE_ARN- peran IAM ARN dibuat pada Langkah 1

  • ORGANIZATION_ID- ID organisasi untuk akun manajemen

  • MEMBER_ACCOUNT_NUMBER- akun anggota yang sedang dimodifikasi

  • HOME_REGION- Wilayah rumah untuk penyiapan AWS Control Tower.

Ubah setiap sumber daya yang ada dengan mengikuti instruksi yang diberikan di bagian 5a hingga 5c, yang mengikuti.

Langkah 5a. AWS Config sumber daya perekam

Hanya satu AWS Config perekam yang dapat ada per AWS Wilayah. Jika ada, ubah pengaturan seperti yang ditunjukkan. Ganti item GLOBAL_RESOURCE_RECORDING dengan true di Wilayah rumah Anda. Ganti item dengan false untuk Wilayah lain di mana AWS Config perekam ada.

  • Nama: JANGAN UBAH

  • roLearn: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: benar

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Kosong

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string RECORDER_NAME dengan nama AWS Config perekam yang ada.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Langkah 5b. Memodifikasi sumber daya saluran AWS Config pengiriman

Hanya satu saluran AWS Config pengiriman yang dapat ada per Wilayah. Jika ada yang lain, ubah pengaturan seperti yang ditunjukkan.

  • Nama: JANGAN UBAH

  • ConfigSnapshotDeliveryProperties: TwentyFour _Jam

  • S3BucketName: Nama bucket logging dari akun logging AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANISASI_ID

  • SnsTopicARN: Topik SNS ARN dari akun audit, dengan format berikut:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string DELIVERY_CHANNEL_NAME dengan nama AWS Config perekam yang ada.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Langkah 5c. Memodifikasi AWS Config sumber daya otorisasi agregasi

Beberapa otorisasi agregasi dapat ada per Wilayah. AWS Control Tower memerlukan otorisasi agregasi yang menetapkan akun audit sebagai akun resmi, dan memiliki Wilayah asal untuk AWS Control Tower sebagai Wilayah resmi. Jika tidak ada, buat yang baru dengan pengaturan berikut:

  • AuthorizedAccountId: ID akun Audit

  • AuthorizedAwsRegion: Wilayah beranda untuk penyiapan AWS Control Tower

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Langkah 6: Buat sumber daya yang tidak ada, di Wilayah yang diatur oleh AWS Control Tower

Merevisi AWS CloudFormation template, sehingga di wilayah rumah Anda IncludeGlobalResourcesTypesparameter memiliki nilaiGLOBAL_RESOURCE_RECORDING, seperti yang ditunjukkan pada contoh berikut. Juga perbarui bidang yang diperlukan dalam template, seperti yang ditentukan dalam bagian ini.

Ganti item GLOBAL_RESOURCE_RECORDING dengan true di Wilayah rumah Anda. Ganti item dengan false untuk Wilayah lain di mana AWS Config perekam ada.

  1. Arahkan ke AWS CloudFormation konsol akun manajemen.

  2. Buat yang baru StackSet dengan nama CustomerCreatedConfigResourcesForControlTower.

  3. Salin dan perbarui template berikut:

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Perbarui template dengan bidang wajib:

    1. Di BucketName bidang S3, ganti LOGGING_ACCOUNT_ID dan HOME_REGION

    2. Di KeyPrefix bidang S3, ganti ORGANIZATION_ID

    3. Di bidang SnsTopicARN, ganti AUDIT_ACCOUNT

    4. Di AuthorizedAccountIdbidang, ganti AUDIT_ACCOUNT

    5. Di AuthorizedAwsRegionbidang, ganti HOME_REGION

  4. Selama penyebaran di AWS CloudFormation konsol, tambahkan nomor akun anggota.

  5. Tambahkan AWS Wilayah yang diidentifikasi pada Langkah 4.

  6. Menyebarkan set tumpukan.

Langkah 7: Daftarkan OU dengan AWS Control Tower

Di dasbor AWS Control Tower, daftarkan OU.

catatan

Alur kerja akun Mendaftar tidak akan berhasil untuk tugas ini. Anda harus memilih Register OU atau Re-register OU.