Inscrever contas que tenham recursos existentes AWS Config - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inscrever contas que tenham recursos existentes AWS Config

Este tópico fornece uma step-by-step abordagem sobre como inscrever contas que tenham AWS Config recursos existentes. Para obter exemplos de como verificar seus recursos existentes, consulteExemplos de AWS Config CLI comandos para o status do recurso.

nota

Se você planeja trazer AWS contas existentes para a AWS Control Tower como contas de arquivo de auditoria e log, e se essas contas tiverem AWS Config recursos existentes, você deve excluir completamente AWS Config os recursos existentes antes de poder inscrever essas contas na AWS Control Tower para essa finalidade. Para contas que não se destinam a se tornar contas de arquivamento de auditoria e registro, você pode modificar os recursos existentes do Config.

Exemplos de AWS Config recursos

Aqui estão alguns tipos de AWS Config recursos que sua conta já pode ter. Esses recursos podem precisar ser modificados para que você possa inscrever sua conta no AWS Control Tower.

  • AWS Config gravador

  • AWS Config canal de entrega

  • AWS Config autorização de agregação

Suposições
  • Você implantou uma landing zone do AWS Control Tower

  • Sua conta ainda não está cadastrada no AWS Control Tower.

  • Sua conta tem pelo menos um AWS Config recurso preexistente em pelo menos uma das regiões do AWS Control Tower governadas pela conta de gerenciamento.

  • Sua conta não é a conta de gerenciamento do AWS Control Tower.

  • Sua conta não está em desvio de governança.

Para um blog que descreve uma abordagem automatizada para cadastrar contas com AWS Config recursos existentes, consulte Automatizar a inscrição de contas com AWS Config recursos existentes no AWS Control Tower. Você poderá enviar um único ticket de suporte para todas as contas que deseja inscrever, conforme descrito emEtapa 1: Entre em contato com o suporte ao cliente com um ticket para adicionar a conta à lista de permissões do AWS Control Tower, a seguir.

Limitações
  • A conta só pode ser cadastrada usando o fluxo de trabalho do AWS Control Tower para ampliar a governança.

  • Se os recursos forem modificados e criarem desvios na conta, o AWS Control Tower não atualizará os recursos.

  • AWS Config os recursos em regiões que não são governadas pelo AWS Control Tower não são alterados.

nota

Se você tentar inscrever uma conta que tenha recursos do Config existentes, sem que a conta seja adicionada à lista de permissões, o registro falhará. Depois disso, se você tentar adicionar essa mesma conta à lista de permissões, o AWS Control Tower não poderá validar se a conta foi provisionada corretamente. Você deve cancelar o provisionamento da conta do AWS Control Tower antes de solicitar a lista de permissões e depois inscrevê-la. Se você mover a conta apenas para uma OU diferente do AWS Control Tower, isso causará uma mudança na governança, o que também impede que a conta seja adicionada à lista de permissões.

Esse processo tem 5 etapas principais.
  1. Adicione a conta à lista de permissões do AWS Control Tower.

  2. Crie uma nova função do IAM na conta.

  3. Modifique AWS Config recursos pré-existentes.

  4. Crie AWS Config recursos em AWS regiões onde eles não existem.

  5. Cadastre a conta no AWS Control Tower.

Antes de continuar, considere as seguintes expectativas em relação a esse processo.
  • O AWS Control Tower não cria nenhum AWS Config recurso nessa conta.

  • Após o cadastro, os controles do AWS Control Tower protegem automaticamente os AWS Config recursos que você criou, incluindo a nova função do IAM.

  • Se alguma alteração for feita nos AWS Config recursos após a inscrição, esses recursos devem ser atualizados para se alinharem às configurações do AWS Control Tower antes que você possa reinscrever a conta.

Etapa 1: Entre em contato com o suporte ao cliente com um ticket para adicionar a conta à lista de permissões do AWS Control Tower

Inclua essa frase na linha de assunto do seu ticket:

Inscreva contas que tenham AWS Config recursos existentes no AWS Control Tower

Inclua os seguintes detalhes no corpo do seu ingresso:
  • Número da conta de gerenciamento

  • Números de contas de membros que têm AWS Config recursos existentes

  • Sua região de origem selecionada para a configuração do AWS Control Tower

nota

O tempo necessário para adicionar sua conta à lista de permissões é de 2 dias úteis.

Etapa 2: criar uma nova função do IAM na conta do membro

  1. Abra o AWS CloudFormation console da conta do membro.

  2. Crie uma nova pilha usando o seguinte modelo

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
  3. Forneça o nome da pilha como Torre CustomerCreatedConfigRecorderRoleForControl

  4. Crie a stack.

nota

Qualquer SCPs que você criar deve excluir uma aws-controltower-ConfigRecorderRole* função. Não modifique as permissões que restringem a capacidade AWS Config das regras de realizar avaliações.

Siga estas diretrizes para que você não receba um AccessDeniedException quando tiver SCPs que impedem a chamada aws-controltower-ConfigRecorderRole* do Config.

Etapa 3: identificar as AWS regiões com recursos pré-existentes

Para cada região governada (governada pelo AWS Control Tower) na conta, identifique e anote as regiões que têm pelo menos um dos tipos de exemplo de AWS Config recursos existentes mostrados anteriormente.

Etapa 4: identificar as AWS regiões sem AWS Config recursos

Para cada região governada (governada pela AWS Control Tower) na conta, identifique e anote as regiões nas quais não há AWS Config recursos dos tipos de exemplo mostrados anteriormente.

Etapa 5: Modificar os recursos existentes em cada AWS região

Para essa etapa, são necessárias as seguintes informações sobre a configuração do AWS Control Tower.

  • LOGGING_ACCOUNT- o ID da conta de registro

  • AUDIT_ACCOUNT- o ID da conta de auditoria

  • IAM_ROLE_ARN- o ARN da função do IAM criado na Etapa 1

  • ORGANIZATION_ID- o ID da organização para a conta de gerenciamento

  • MEMBER_ACCOUNT_NUMBER- a conta do membro que está sendo modificada

  • HOME_REGION- a região de origem da configuração do AWS Control Tower.

Modifique cada recurso existente seguindo as instruções dadas nas seções 5a a 5c, a seguir.

Etapa 5a. AWS Config recursos de gravador

Somente um AWS Config gravador pode existir por AWS região. Se houver, modifique as configurações conforme mostrado. Substitua GLOBAL_RESOURCE_RECORDING o item por verdadeiro em sua região natal. Substitua o item por false para outras regiões onde existe um AWS Config gravador.

  • Nome: NÃO MUDE

  • RoLearn: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: verdadeiro

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vazio

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua RECORDER_NAME a string pelo nome do AWS Config gravador existente.

aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Etapa 5b. Modifique os recursos do canal de AWS Config entrega

Somente um canal AWS Config de entrega pode existir por região. Se houver outra, modifique as configurações conforme mostrado.

  • Nome: NÃO MUDE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Horas

  • S3BucketName: O nome do bucket de registro da conta de registro do AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ID DA ORGANIZAÇÃO

  • SnsTopicARN: O ARN do tópico do SNS da conta de auditoria, com o seguinte formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua DELIVERY_CHANNEL_NAME a string pelo nome do AWS Config gravador existente.

aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Etapa 5c. Modificar AWS Config recursos de autorização de agregação

Podem existir várias autorizações de agregação por região. O AWS Control Tower exige uma autorização de agregação que especifique a conta de auditoria como a conta autorizada e tenha a região de origem da AWS Control Tower como a região autorizada. Se ele não existir, crie um novo com as seguintes configurações:

  • AuthorizedAccountId: O ID da conta de auditoria

  • AuthorizedAwsRegion: A região de origem da configuração do AWS Control Tower

Essa modificação pode ser feita por meio da AWS CLI usando o seguinte comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Etapa 6: Crie recursos onde eles não existem, em regiões governadas pela AWS Control Tower

Revise o AWS CloudFormation modelo para que, na sua região de origem, o IncludeGlobalResourcesTypesparâmetro tenha o valorGLOBAL_RESOURCE_RECORDING, conforme mostrado no exemplo a seguir. Atualize também os campos obrigatórios no modelo, conforme especificado nesta seção.

Substitua GLOBAL_RESOURCE_RECORDING o item por verdadeiro em sua região natal. Substitua o item por false para outras regiões onde existe um AWS Config gravador.

  1. Navegue até o AWS CloudFormation console da conta de gerenciamento.

  2. Crie um novo StackSet com o nome CustomerCreatedConfigResourcesForControlTower.

  3. Copie e atualize o seguinte modelo:

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION S3KeyPrefix: ORGANIZATION_ID SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId: AUDIT_ACCOUNT AuthorizedAwsRegion: HOME_REGION
    Atualize o modelo com os campos obrigatórios:
    1. No BucketName campo S3, substitua LOGGING_ACCOUNT_ID e HOME_REGION

    2. No KeyPrefix campo S3, substitua o ORGANIZATION_ID

    3. No campo SnsTopicARN, substitua o AUDIT_ACCOUNT

    4. No AuthorizedAccountIdcampo, substitua o AUDIT_ACCOUNT

    5. No AuthorizedAwsRegioncampo, substitua a HOME_REGION

  4. Durante a implantação no AWS CloudFormation console, adicione o número da conta do membro.

  5. Adicione as AWS regiões que foram identificadas na Etapa 4.

  6. Implante o conjunto de pilhas.

Etapa 7: registrar a OU com o AWS Control Tower

No painel do AWS Control Tower, registre a OU.

nota

O fluxo de trabalho Inscrever conta não será bem-sucedido para essa tarefa. Você deve escolher Registrar OU ou Registrar OU Novamente.