Iscrivi un esistente Account AWS - AWS Control Tower
Cosa succede durante la registrazione dell'accountRegistrazione di account esistenti con VPCsEsempi di comandi AWS Config CLI per lo stato delle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Iscrivi un esistente Account AWS

Puoi estendere la governance di AWS Control Tower a un individuo esistente Account AWS quando lo registri in un'unità organizzativa (OU) già governata da AWS Control Tower. Esistono account idonei non registrati OUs che fanno parte della stessa AWS Organizations organizzazione dell'unità organizzativa AWS Control Tower.

Nota

Non puoi registrare un account esistente come account di controllo o di archiviazione dei log tranne durante la configurazione iniziale della landing zone.

Imposta prima un accesso affidabile

Prima di poter registrare un account esistente Account AWS in AWS Control Tower, devi autorizzare AWS Control Tower a gestire o governare l'account. In particolare, AWS Control Tower richiede l'autorizzazione per stabilire un accesso affidabile tra AWS CloudFormation e AWS Organizations per tuo conto, in modo da AWS CloudFormation poter distribuire automaticamente lo stack agli account dell'organizzazione selezionata. Con questo accesso affidabile, il AWSControlTowerExecution ruolo svolge le attività necessarie per gestire ogni account. Ecco perché è necessario aggiungere questo ruolo a ciascun account prima di registrarlo.

Quando l'accesso affidabile è abilitato, AWS CloudFormation puoi creare, aggiornare o eliminare pile su più account e Regioni AWS con un'unica operazione. AWS Control Tower si affida a questa funzionalità di fiducia in modo da poter applicare ruoli e autorizzazioni agli account esistenti prima di trasferirli in un'unità organizzativa registrata e quindi sottoporli alla governance.

Per saperne di più sull'accesso affidabile e AWS CloudFormation StackSets, vedi AWS CloudFormationStackSets e AWS Organizations.

Cosa succede durante la registrazione dell'account

Durante il processo di registrazione, AWS Control Tower esegue le seguenti azioni:

  • Baseline dell'account, che include la distribuzione di questi set di stack:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Ti consigliamo di rivedere i modelli di questi set di stack e assicurarti che non siano in conflitto con le policy esistenti.

  • Identifica l'account tramite o. AWS IAM Identity Center AWS Organizations

  • Inserisce l'account nell'unità organizzativa specificata. Assicurati di applicare tutto ciò SCPs che viene applicato nell'unità organizzativa corrente, in modo che il tuo livello di sicurezza rimanga coerente.

  • Applica i controlli obbligatori all'account mediante quelli SCPs che si applicano all'unità organizzativa selezionata nel suo complesso.

  • Lo abilita AWS Config e lo configura per registrare tutte le risorse dell'account.

  • Aggiunge le AWS Config regole che applicano i controlli investigativi di AWS Control Tower all'account.

Account e percorsi a livello di organizzazione CloudTrail

Tutti gli account dei membri di un'unità organizzativa sono regolati dalla cronologia dell' AWS CloudTrail unità organizzativa, indipendentemente dal fatto che siano registrati o meno:

  • Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso della nuova organizzazione. Se disponi già di una distribuzione di un CloudTrail trail, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.

  • Se sposti un account in un'unità organizzativa registrata, ad esempio tramite la AWS Organizations console, e non procedi con la registrazione dell'account in AWS Control Tower, potresti voler rimuovere eventuali percorsi a livello di account rimanenti per l'account. Se disponi già di una distribuzione di un trail, dovrai sostenere addebiti duplicati. CloudTrail CloudTrail

Se aggiorni la landing zone e scegli di disattivare i trail a livello di organizzazione, o se la tua landing zone è precedente alla versione 3.0, i CloudTrail percorsi a livello di organizzazione non si applicano ai tuoi account.

Registrazione di account esistenti con VPCs

AWS Control Tower si comporta VPCs in modo diverso quando si effettua il provisioning di un nuovo account in Account Factory rispetto a quando si registra un account esistente.

  • Quando crei un nuovo account, AWS Control Tower rimuove automaticamente il VPC AWS predefinito e crea un nuovo VPC per quell'account.

  • Quando registri un account esistente, AWS Control Tower non crea un nuovo VPC per quell'account.

  • Quando registri un account esistente, AWS Control Tower non rimuove alcun VPC esistente o VPC AWS predefinito associato all'account.

Suggerimento

Puoi modificare il comportamento predefinito per i nuovi account configurando Account Factory, in modo che non configuri un VPC di default per gli account della tua organizzazione in AWS Control Tower. Per ulteriori informazioni, consulta Crea un account in AWS Control Tower senza un VPC.

Esempi di comandi AWS Config CLI per lo stato delle risorse

Ecco alcuni esempi di comandi AWS Config CLI che è possibile utilizzare per determinare lo stato del registratore di configurazione e del canale di distribuzione.

Comandi di visualizzazione:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La risposta normale è qualcosa del genere "name": "default"

Elimina comandi:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Il seguente modello YAML può aiutarti a creare il ruolo richiesto in un account, in modo che possa essere registrato a livello di codice.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess