Registrare account che dispongono di risorse esistenti AWS Config - AWS Control Tower
Fase 1: contatta l'assistenza clienti con un ticket per aggiungere l'account all'elenco degli account consentiti di AWS Control TowerFase 2: Crea un nuovo ruolo IAM nell'account del membro Fase 3: Identifica le AWS regioni con risorse preesistenti Fase 4: Identifica le AWS regioni prive di AWS Config risorseFase 5: Modifica le risorse esistenti in ogni AWS regioneFase 5a. AWS Config risorse del registratoreFase 5b. Modifica le risorse del canale AWS Config di distribuzione Fase 5c. Modifica le risorse di AWS Config autorizzazione all'aggregazioneFase 6: Creare risorse dove non esistono, nelle regioni governate da AWS Control Tower Fase 7: Registrazione dell'unità organizzativa con AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrare account che dispongono di risorse esistenti AWS Config

Questo argomento fornisce un step-by-step approccio su come registrare account che dispongono di risorse esistenti AWS Config . Per esempi su come controllare le risorse esistenti, consultaEsempi di comandi AWS Config CLI per lo stato delle risorse.

Nota

Se prevedi di portare AWS account esistenti in AWS Control Tower come account di audit e di archiviazione dei log e se tali account dispongono di AWS Config risorse esistenti, devi eliminare completamente AWS Config le risorse esistenti prima di poterli registrare in AWS Control Tower a questo scopo. Per gli account che non sono destinati a diventare account di archiviazione Audit e Log, è possibile modificare le risorse Config esistenti.

Esempi di risorse AWS Config

Ecco alcuni tipi di AWS Config risorse che il tuo account potrebbe già avere. Potrebbe essere necessario modificare queste risorse in modo da poter registrare il proprio account in AWS Control Tower.

  • AWS Config registratore

  • AWS Config canale di consegna

  • AWS Config autorizzazione all'aggregazione

Presupposti

  • Hai implementato una landing zone di AWS Control Tower

  • Il tuo account non è ancora registrato presso AWS Control Tower.

  • Il tuo account ha almeno una AWS Config risorsa preesistente in almeno una delle regioni AWS Control Tower governate dall'account di gestione.

  • Il tuo account non è l'account di gestione di AWS Control Tower.

  • Il tuo account non è soggetto a cambiamenti di governance.

Per un blog che descrive un approccio automatizzato alla registrazione di account con AWS Config risorse esistenti, consulta Automate enrollment of account con AWS Config risorse esistenti in AWS Control Tower. Potrai inviare un unico ticket di supporto per tutti gli account che desideri registrare, come descritto in quanto segue. Fase 1: contatta l'assistenza clienti con un ticket per aggiungere l'account all'elenco degli account consentiti di AWS Control Tower

Limitazioni

  • L'account può essere registrato solo utilizzando il flusso di lavoro AWS Control Tower per estendere la governance.

  • Se le risorse vengono modificate e creano una deriva sull'account, AWS Control Tower non aggiorna le risorse.

  • AWS Config le risorse nelle regioni che non sono governate da AWS Control Tower non vengono modificate.

Nota

Se tenti di registrare un account che dispone di risorse Config esistenti, senza che l'account venga aggiunto all'elenco consentito, la registrazione avrà esito negativo. Successivamente, se successivamente si tenta di aggiungere lo stesso account all'elenco degli account consentiti, AWS Control Tower non può verificare che l'account sia stato fornito correttamente. È necessario rimuovere l'account da AWS Control Tower prima di poter richiedere l'elenco degli account consentiti e quindi registrarlo. Se si sposta l'account solo in un'altra unità organizzativa AWS Control Tower, si verifica un cambiamento di governance, che impedisce anche l'aggiunta dell'account all'elenco degli account consentiti.

Questo processo prevede 5 fasi principali.

  1. Aggiungi l'account all'elenco degli account consentiti da AWS Control Tower.

  2. Crea un nuovo ruolo IAM nell'account.

  3. Modifica le AWS Config risorse preesistenti.

  4. Crea AWS Config risorse nelle AWS regioni in cui non esistono.

  5. Registra l'account con AWS Control Tower.

Prima di procedere, considera le seguenti aspettative relative a questo processo.

  • AWS Control Tower non crea alcuna AWS Config risorsa in questo account.

  • Dopo la registrazione, i controlli AWS Control Tower proteggono automaticamente le AWS Config risorse create, incluso il nuovo ruolo IAM.

  • Se vengono apportate modifiche alle AWS Config risorse dopo la registrazione, tali risorse devono essere aggiornate per allinearle alle impostazioni di AWS Control Tower prima di poter registrare nuovamente l'account.

Fase 1: contatta l'assistenza clienti con un ticket per aggiungere l'account all'elenco degli account consentiti di AWS Control Tower

Includi questa frase nell'oggetto del ticket:

Registra account che dispongono di AWS Config risorse esistenti in AWS Control Tower

Includi i seguenti dettagli nel corpo del ticket:

  • Numero dell'account di gestione

  • Numeri di account degli account dei membri che dispongono di AWS Config risorse esistenti

  • La regione d'origine selezionata per la configurazione di AWS Control Tower

Nota

Il tempo necessario per aggiungere il tuo account all'elenco degli account consentiti è di 2 giorni lavorativi.

Fase 2: Crea un nuovo ruolo IAM nell'account del membro

  1. Apri la AWS CloudFormation console per l'account membro.

  2. Crea un nuovo stack utilizzando il seguente modello

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Fornisci il nome dello stack come Tower CustomerCreatedConfigRecorderRoleForControl

  4. Creare lo stack.

Nota

Qualsiasi SCP che crei dovrebbe escludere un aws-controltower-ConfigRecorderRole* ruolo. Non modificate le autorizzazioni che limitano la capacità AWS Config delle regole di eseguire valutazioni.

Segui queste linee guida in modo da non ricevere un messaggio AccessDeniedException quando hai SCP che aws-controltower-ConfigRecorderRole* impediscono di chiamare Config.

Fase 3: Identifica le AWS regioni con risorse preesistenti

Per ogni regione governata (gestita da AWS Control Tower) nell'account, identifica e annota le regioni che hanno almeno uno degli esempi di AWS Config risorse esistenti mostrati in precedenza.

Fase 4: Identifica le AWS regioni prive di AWS Config risorse

Per ogni regione governata (gestita da AWS Control Tower) nell'account, identifica e annota le regioni in cui non sono presenti AWS Config risorse dei tipi di esempio mostrati in precedenza.

Fase 5: Modifica le risorse esistenti in ogni AWS regione

Per questa fase, sono necessarie le seguenti informazioni sulla configurazione di AWS Control Tower.

  • LOGGING_ACCOUNT- l'ID dell'account di registrazione

  • AUDIT_ACCOUNT- l'ID dell'account Audit

  • IAM_ROLE_ARN- il ruolo IAM ARN creato nella Fase 1

  • ORGANIZATION_ID- l'ID dell'organizzazione per l'account di gestione

  • MEMBER_ACCOUNT_NUMBER- l'account del membro che viene modificato

  • HOME_REGION- la regione principale per la configurazione di AWS Control Tower.

Modifica ogni risorsa esistente seguendo le istruzioni fornite nelle sezioni da 5a a 5c, che seguono.

Fase 5a. AWS Config risorse del registratore

Può esistere un solo AWS Config registratore per regione. AWS Se ne esiste uno, modificate le impostazioni come mostrato. Sostituisci l'articolo GLOBAL_RESOURCE_RECORDING con true nella tua regione d'origine. Sostituisci l'elemento con false per le altre regioni in cui esiste un AWS Config registratore.

  • Nome: DON'T CHANGE

  • ROLearn: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: vero

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vuoto

Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando. Sostituite la stringa RECORDER_NAME con il nome del AWS Config registratore esistente.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Fase 5b. Modifica le risorse del canale AWS Config di distribuzione

Può esistere un solo canale di AWS Config consegna per regione. Se ne esiste un altro, modifica le impostazioni come mostrato.

  • Nome: DON'T CHANGE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Ore

  • S3BucketName: il nome del bucket di registrazione dell'account di registrazione AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: l'ARN dell'argomento SNS dell'account di controllo, con il seguente formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando. Sostituite la stringa DELIVERY_CHANNEL_NAME con il nome del AWS Config registratore esistente.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Fase 5c. Modifica le risorse di AWS Config autorizzazione all'aggregazione

Possono esistere più autorizzazioni di aggregazione per regione. AWS Control Tower richiede un'autorizzazione di aggregazione che specifichi l'account di audit come account autorizzato e abbia la regione di origine per AWS Control Tower come regione autorizzata. Se non esiste, creane uno nuovo con le seguenti impostazioni:

  • AuthorizedAccountId: L'ID dell'account Audit

  • AuthorizedAwsRegion: La regione principale per la configurazione di AWS Control Tower

Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Fase 6: Creare risorse dove non esistono, nelle regioni governate da AWS Control Tower

Modifica il AWS CloudFormation modello, in modo che nella tua regione d'origine il IncludeGlobalResourcesTypesparametro abbia il valoreGLOBAL_RESOURCE_RECORDING, come mostrato nell'esempio che segue. Aggiorna anche i campi obbligatori nel modello, come specificato in questa sezione.

Sostituisci l'articolo GLOBAL_RESOURCE_RECORDING con true nella tua regione d'origine. Sostituisci l'elemento con false per le altre regioni in cui esiste un AWS Config registratore.

  1. Accedi alla AWS CloudFormation console dell'account di gestione.

  2. Creane uno nuovo StackSet con il nome CustomerCreatedConfigResourcesForControlTower.

  3. Copia e aggiorna il seguente modello:

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Aggiorna il modello con i campi obbligatori:

    1. Nel BucketName campo S3, sostituisci LOGGING_ACCOUNT_ID e HOME_REGION

    2. Nel campo S3, sostituisci ORGANIZATION_ID KeyPrefix

    3. Nel campo SnsTopicARN, sostituisci AUDIT_ACCOUNT

    4. Nel AuthorizedAccountIdcampo, sostituisci AUDIT_ACCOUNT

    5. Nel AuthorizedAwsRegioncampo, sostituisci HOME_REGION

  4. Durante la distribuzione sulla AWS CloudFormation console, aggiungi il numero di account membro.

  5. Aggiungi le AWS regioni identificate nel passaggio 4.

  6. Distribuisci lo stack set.

Fase 7: Registrazione dell'unità organizzativa con AWS Control Tower

Nella dashboard di AWS Control Tower, registra l'unità organizzativa.

Nota

Il flusso di lavoro dell'account Enroll non avrà successo per questa operazione. È necessario scegliere Register OU o Re-register OU.