Inscrever um existente Conta da AWS - AWS Control Tower
O que acontece durante a inscrição na contaRegistrando contas existentes com VPCsExemplos de AWS Config CLI comandos para o status do recurso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inscrever um existente Conta da AWS

Você pode estender a governança da AWS Control Tower a um indivíduo, existente Conta da AWS quando você o inscreve em uma unidade organizacional (OU) que já é governada pela AWS Control Tower. Existem contas elegíveis em pessoas não registradas OUs que fazem parte da mesma AWS Organizations organização da AWS Control Tower OU.

nota

Você não pode inscrever uma conta existente para servir como sua conta de auditoria ou arquivamento de registros, exceto durante a configuração inicial do landing zone.

Configure primeiro o acesso confiável

Antes de inscrever um existente Conta da AWS na AWS Control Tower, você deve dar permissão para que a AWS Control Tower gerencie ou controle a conta. Especificamente, a AWS Control Tower exige permissão para estabelecer acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que AWS CloudFormation possa implantar sua pilha automaticamente nas contas da organização selecionada. Com esse acesso confiável, a AWSControlTowerExecution função realiza as atividades necessárias para gerenciar cada conta. É por isso que você deve adicionar essa função a cada conta antes de inscrevê-la.

Quando o acesso confiável está ativado, AWS CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e Regiões da AWS com uma única operação. AWSA Control Tower conta com esse recurso de confiança para poder aplicar funções e permissões às contas existentes antes de transferi-las para uma unidade organizacional registrada e, assim, colocá-las sob controle.

Para saber mais sobre acesso confiável e AWS CloudFormation StackSets, veja AWS CloudFormationStackSetsAWS Organizationse.

O que acontece durante a inscrição na conta

Durante o processo de inscrição, a AWS Control Tower executa as seguintes ações:

  • Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.

  • Identifica a conta por meio de AWS IAM Identity Center ou AWS Organizations.

  • Coloca a conta na UO especificada. Certifique-se de aplicar tudo o SCPs que é aplicado na OU atual, para que sua postura de segurança permaneça consistente.

  • Aplica controles obrigatórios à conta por meio dos SCPs que se aplicam à OU selecionada como um todo.

  • Ativa AWS Config e configura para registrar todos os recursos na conta.

  • Adiciona as AWS Config regras que aplicam os controles de detetive da AWS Control Tower à conta.

Trilhas em nível de contas e organização CloudTrail

Todas as contas de membros em uma OU são regidas pela AWS CloudTrail trilha da OU, inscritas ou não:

  • Quando você inscreve uma conta no AWS Control Tower, sua conta é governada pela AWS CloudTrail trilha da nova organização. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la na AWS Control Tower.

  • Se você mover uma conta para uma OU registrada, por exemplo, por meio do AWS Organizations console, e não continuar inscrevendo a conta no Control TowerAWS, talvez queira remover todas as trilhas restantes no nível da conta. Se você já tiver uma implantação de uma CloudTrail trilha, você incorrerá em cobranças duplicadas. CloudTrail

Se você atualizar sua landing zone e optar por não receber trilhas em nível organizacional, ou se sua landing zone for anterior à versão 3.0, as trilhas em nível organizacional não se aplicarão às suas CloudTrail contas.

Registrando contas existentes com VPCs

AWSO Control Tower lida VPCs de forma diferente quando você provisiona uma nova conta no Account Factory do que quando você inscreve uma conta existente.

  • Quando você cria uma nova conta, o AWS Control Tower remove automaticamente o AWS padrão VPC e cria um novo VPC para essa conta.

  • Quando você inscreve uma conta existente, a AWS Control Tower não cria uma nova VPC para essa conta.

  • Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma conta existente VPC ou AWS padrão VPC associada à conta.

dica

Você pode alterar o comportamento padrão de novas contas configurando o Account Factory, para que ele não configure um VPC por padrão para contas em sua organização sob AWS Control Tower. Para obter mais informações, consulte Crie uma conta no AWS Control Tower sem uma VPC.

Exemplos de AWS Config CLI comandos para o status do recurso

Aqui estão alguns exemplos de AWS Config CLI comandos que você pode usar para determinar o status do gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

A resposta normal é algo como "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

O YAML modelo a seguir pode ajudá-lo a criar a função necessária em uma conta, para que ela possa ser cadastrada programaticamente.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess