Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrare account che dispongono di risorse esistenti AWS Config
Questo argomento fornisce un step-by-step approccio su come registrare account che dispongono di risorse esistenti. AWS Config Per esempi su come controllare le risorse esistenti, consulta[Registra account con risorse AWS Config](enroll-account.md#example-config-cli-commands).
**Esempi di AWS Config risorse**
Ecco alcuni tipi di AWS Config risorse che il tuo account potrebbe già avere. Potrebbe essere necessario modificare queste risorse in modo da poter registrare il proprio account in AWS Control Tower.
+ AWS Config registratore
+ AWS Config canale di consegna
+ AWS Config autorizzazione all'aggregazione
**Limitazioni**
+ L'account Enroll con la risorsa AWS Config esistente non è supportato per gli account di gestione o gli account di integrazione dei servizi configurati nella landing zone.
+ L'account può essere registrato solo utilizzando il flusso di lavoro di registrazione o ri-registrazione dell'unità organizzativa che abilita il. `AWSControlTowerBaseline` L'account non può essere registrato abilitando o reimpostando il. `ConfigBaseline`
+ L'account con una risorsa AWS Config esistente non è supportato da. [Sposta e registra gli account con la registrazione automatica](account-auto-enrollment.md)
+ Se le risorse vengono modificate e creano una deriva sull'account, AWS Control Tower non aggiorna le risorse.
+ AWS Config le risorse nelle regioni che non sono governate da AWS Control Tower non vengono modificate.
**Presupposti**
+ Hai implementato una landing zone di AWS Control Tower.
+ Il tuo account non è ancora registrato presso AWS Control Tower.
+ Il tuo account ha almeno una AWS Config risorsa preesistente in almeno una delle regioni governate da AWS Control Tower.
+ Il tuo account non è soggetto a cambiamenti di governance.
**Nota**
Se tenti di registrare un account che dispone di risorse Config esistenti, senza che l'account venga aggiunto all'elenco consentito, la registrazione avrà esito negativo. Successivamente, se successivamente si tenta di aggiungere lo stesso account all'elenco degli account consentiti, AWS Control Tower non può verificare che l'account sia stato fornito correttamente. È necessario rimuovere l'account da AWS Control Tower prima di poter richiedere l'elenco degli account consentiti e quindi registrarlo. Se si sposta l'account solo in un'altra unità organizzativa AWS Control Tower, si verifica un cambiamento di governance, che impedisce anche l'aggiunta dell'account all'elenco degli account consentiti.
Per un blog che descrive un approccio automatizzato alla registrazione di account con AWS Config risorse esistenti, consulta [Automate enrollment of account con AWS Config risorse esistenti in AWS Control Tower](https://aws.amazon.com//blogs/mt/automate-enrollment-of-accounts-with-existing-aws-config-resources-into-aws-control-tower/).
**Questo processo prevede 5 fasi principali.**
1. Aggiungi gli account all'elenco degli account consentiti di AWS Control Tower.
1. Crea un nuovo ruolo IAM nell'account.
1. Modifica le AWS Config risorse preesistenti.
1. Crea AWS Config risorse nelle AWS regioni in cui non esistono.
1. Registra l'account con AWS Control Tower.
**Prima di procedere, considera le seguenti aspettative relative a questo processo.**
+ AWS Control Tower non crea alcuna AWS Config risorsa in questo account.
+ Dopo la registrazione, i controlli AWS Control Tower proteggono automaticamente le AWS Config risorse create, incluso il nuovo ruolo IAM.
+ Se vengono apportate modifiche alle AWS Config risorse dopo la registrazione, tali risorse devono essere aggiornate per allinearle alle impostazioni di AWS Control Tower prima di poter registrare nuovamente l'account.
## Passaggio 1: contatta l'assistenza per aggiungere account all'elenco degli account consentiti
**Includi questa frase nell'oggetto del ticket:**
*Registra account che dispongono di AWS Config risorse esistenti in AWS Control Tower*
**Includi i seguenti dettagli nel corpo del ticket:**
+ Numero dell'account di gestione
+ Numeri di account degli account dei membri che dispongono di AWS Config risorse esistenti. Potrai creare una richiesta di supporto per tutti gli account che desideri registrare.
+ La regione d'origine selezionata per la configurazione di AWS Control Tower
**Nota**
Il tempo necessario per aggiungere il tuo account all'elenco degli account consentiti è di 2 giorni lavorativi.
## Fase 2: Crea un nuovo ruolo IAM nell'account del membro
1. Apri la CloudFormation console per l'account membro.
1. Crea un nuovo stack utilizzando il seguente modello
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorderRole:
Type: AWS::IAM::Role
Properties:
RoleName: aws-controltower-ConfigRecorderRole-customer-created
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
- arn:aws:iam::aws:policy/ReadOnlyAccess
```
1. Fornisci il nome dello stack come **CustomerCreatedConfigRecorderRoleForControlTower**
1. Creare lo stack.
**Nota**
Qualsiasi cosa SCPs tu crei dovrebbe escludere un `aws-controltower-ConfigRecorderRole*` ruolo. Non modificate le autorizzazioni che limitano la capacità AWS Config delle regole di eseguire valutazioni.
Segui queste linee guida in modo da non ricevere un avviso `AccessDeniedException` quando ti viene SCPs `aws-controltower-ConfigRecorderRole*` impedito di chiamare Config.
## Fase 3: Identifica le AWS regioni con risorse preesistenti
Per ogni regione governata (gestita da AWS Control Tower) nell'account, identifica e annota le regioni che hanno almeno uno degli esempi di AWS Config risorse esistenti mostrati in precedenza.
## Fase 4: Identifica le AWS regioni prive di AWS Config risorse
Per ogni regione governata (gestita da AWS Control Tower) nell'account, identifica e annota le regioni in cui non sono presenti AWS Config risorse dei tipi di esempio mostrati in precedenza.
## Fase 5: Modifica le risorse esistenti in ogni AWS regione
Per questa fase, sono necessarie le seguenti informazioni sulla configurazione di AWS Control Tower.
+ `AUDIT_ACCOUNT`- l'ID dell'account di integrazione del servizio AWS Config (precedentemente noto come account Audit)
+ `CONFIG_BUCKET`- il bucket AWS S3 a cui AWS Config fornisce snapshot di configurazione e file di cronologia della configurazione. Individua e conferma l'esistenza del bucket AWS S3 prima di procedere con i passaggi successivi.
+ Per la versione 3.3 o precedente della landing zone, viene denominato il bucket AWS S3`aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION`, che si trova nell'account Logging.
+ Per la versione 4.0 o successiva della landing zone, viene denominato il bucket AWS S3`aws-controltower-config-logs-AUDIT_ACCOUNT--`, che si trova nell'account di integrazione del servizio AWS Config (precedentemente noto come account Audit).
+ `IAM_ROLE_ARN`- il ruolo IAM ARN creato nella Fase 2
+ `ORGANIZATION_ID`- l'ID dell'organizzazione per l'account di gestione
+ `MEMBER_ACCOUNT_NUMBER`- l'account del membro che viene modificato
+ `HOME_REGION`- la regione principale per la configurazione di AWS Control Tower.
Modifica ogni risorsa esistente seguendo le istruzioni fornite nelle sezioni da 5a a 5c, che seguono.
## Fase 5a. AWS Config risorse del registratore
Può esistere un solo AWS Config registratore per regione. AWS Se ne esiste uno, modificate le impostazioni come mostrato. Sostituisci l'articolo `GLOBAL_RESOURCE_RECORDING` con **true** nella tua regione d'origine. Sostituisci l'elemento con **false** per le altre regioni in cui esiste un AWS Config registratore.
+ **Nome:** DON'T CHANGE
+ **ROLearn:** ` IAM_ROLE_ARN`
+ **RecordingGroup:**
+ **AllSupported: vero**
+ **IncludeGlobalResourceTypes:** `GLOBAL_RESOURCE_RECORDING`
+ **ResourceTypes:** Vuoto
Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando. Sostituite la stringa `RECORDER_NAME` con il nome del AWS Config registratore esistente.
```
aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION
```
## Fase 5b. Modifica le risorse del canale AWS Config di distribuzione
Può esistere un solo canale di AWS Config consegna per regione. Se ne esiste un altro, modifica le impostazioni come mostrato.
+ **Nome:** DON'T CHANGE
+ **ConfigSnapshotDeliveryProperties:** TwentyFour \$1Ore
+ **S3: BucketName** *CONFIG\$1BUCKET*
+ **S3: KeyPrefix** *ORGANIZATION\$1ID*
+ **SnsTopicARN:** l'ARN dell'argomento SNS dell'account di controllo, con il seguente formato:
`arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications`
Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando. Sostituite la stringa `DELIVERY_CHANNEL_NAME` con il nome del AWS Config registratore esistente.
```
aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=CONFIG_BUCKET,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION
```
## Fase 5c. Modifica le risorse di AWS Config autorizzazione all'aggregazione
**Nota**
Questo passaggio non è necessario per la versione 4.0 o successiva della landing zone.
Possono esistere più autorizzazioni di aggregazione per regione. AWS Control Tower richiede un'autorizzazione di aggregazione che specifichi l'account di audit come account autorizzato e abbia la regione di origine per AWS Control Tower come regione autorizzata. Se non esiste, creane uno nuovo con le seguenti impostazioni:
+ **AuthorizedAccountId:** L'ID dell'account Audit
+ **AuthorizedAwsRegion:** La regione principale per la configurazione di AWS Control Tower
Questa modifica può essere effettuata tramite la AWS CLI utilizzando il seguente comando:
`aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION`
## Fase 6: Creare risorse dove non esistono, nelle regioni governate da AWS Control Tower
Modifica il CloudFormation modello, in modo che nella tua regione d'origine il **IncludeGlobalResourcesTypes**parametro abbia il valore`GLOBAL_RESOURCE_RECORDING`, come mostrato nell'esempio che segue. Aggiorna anche i campi obbligatori nel modello, come specificato in questa sezione.
Sostituisci l'articolo `GLOBAL_RESOURCE_RECORDING` con **true** nella tua regione d'origine. Sostituisci l'elemento con **false** per le altre regioni in cui non esiste un AWS Config registratore.
1. Accedi alla CloudFormation console dell'account di gestione.
1. Creane uno nuovo StackSet con il nome **CustomerCreatedConfigResourcesForControlTower**.
1. Copia e aggiorna il seguente modello:
**Nota**
La `CustomerCreatedAggregationAuthorization` risorsa nel modello non è richiesta per la versione 4.0 o successiva della landing zone.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorder:
Type: AWS::Config::ConfigurationRecorder
Properties:
Name: aws-controltower-BaselineConfigRecorder-customer-created
RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
RecordingGroup:
AllSupported: true
IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
ResourceTypes: []
CustomerCreatedConfigDeliveryChannel:
Type: AWS::Config::DeliveryChannel
Properties:
Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
ConfigSnapshotDeliveryProperties:
DeliveryFrequency: TwentyFour_Hours
S3BucketName: CONFIG_BUCKET
S3KeyPrefix: ORGANIZATION_ID
SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
CustomerCreatedAggregationAuthorization:
Type: "AWS::Config::AggregationAuthorization"
Properties:
AuthorizedAccountId: AUDIT_ACCOUNT
AuthorizedAwsRegion: HOME_REGION
```
**Aggiorna il modello con i campi obbligatori:**
1. Nel BucketName campo **S3**, sostituisci il *CONFIG\$1BUCKET*
1. Nel KeyPrefix campo **S3**, sostituire il *ORGANIZATION\$1ID*
1. Nel campo **SnsTopicARN**, sostituire *AUDIT\$1ACCOUNT*
1. Nel **AuthorizedAccountId**campo, sostituire il *AUDIT\$1ACCOUNT*
1. Sul **AuthorizedAwsRegion**campo, sostituire il *HOME\$1REGION*
1. Durante la distribuzione sulla CloudFormation console, aggiungi il numero di account del membro.
1. Aggiungi le AWS regioni identificate nel passaggio 4.
1. Distribuisci lo stack set.
## Fase 7: Registrazione dell'unità organizzativa con AWS Control Tower
Nella dashboard di AWS Control Tower, registra l'unità organizzativa.
**Nota**
Il flusso di lavoro **dell'account Enroll** non avrà successo per questa operazione. È necessario scegliere **Register OU** o **Re-register** OU.