註冊現有的 AWS 帳戶 - AWS Control Tower
帳戶註冊期間會發生什麼使用 VPC 註冊現有帳戶如果帳戶不符合先決條件怎麼辦?資源狀態的 AWS Config CLI 命令範例自動註冊 AWS Organizations 帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊現有的 AWS 帳戶

您可以將 AWS Control Tower 管理擴展到個人, AWS 帳戶 當您將其註冊到已由 AWS Control Tower 管理的組織單位 (OU) 時即可使用。合格的帳戶存在於未註冊的 OU 中,與 AWS Control Tower OU 屬於相同 AWS Organizations 組織的一部分

注意

除非在初始 landing zone 設定期間,否則您無法將現有帳戶註冊為稽核或記錄封存帳戶。

首先設定受信任的存取

您必須先授予 AWS Control Tower 管理或管理帳戶的權限,才能 AWS 帳戶 將現有的 AWS Control Tower 註冊到 AWS 制塔。具體來說,AWS Control Tower 需要許可,才能 AWS Organizations 在您之間 AWS CloudFormation 和代表您建立受信任的存取權限, AWS CloudFormation 以便自動將堆疊部署到所選組織中的帳戶。透過此受信任存取權,AWSControlTowerExecution角色會執行管理每個帳戶所需的活動。這就是為什麼您必須在註冊之前將此角色添加到每個帳戶中的原因。

啟用受信任存取時, AWS CloudFormation 可以透過單一作業跨多個帳戶建立、更新或刪除堆疊。 AWS 區域 AWS Control Tower 仰賴此信任功能,因此在將現有帳戶移入註冊的組織單位之前,可將角色和許可套用至現有帳戶,進而使其受到管理。

若要進一步了解受信任存取權限 AWS CloudFormation StackSets,請參閱AWS CloudFormationStackSets和 AWS Organizations

帳戶註冊期間會發生什麼

在註冊程序期間,AWS Control Tower 會執行下列動作:

  • 確立帳戶的基準,其中包括部署這些堆疊集:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    檢閱這些堆疊集的範本,並確定它們與您現有的政策沒有衝突是個不錯的主意。

  • 透過 AWS IAM Identity Center 或識別帳戶 AWS Organizations。

  • 將帳戶放入您指定的 OU 中。請務必套用目前 OU 中套用的所有 SCP,使您的安全狀態能夠保持一致。

  • 透過套用至所選 OU 整體的 SCP,將強制控制套用至帳戶。

  • 啟用 AWS Config 並設定它,以記錄帳號中的所有資源。

  • 新增將 AWS Control Tower 偵探控制套用至帳戶的 AWS Config 規則。

帳戶和組織層 CloudTrail 級追蹤

OU 中的所有成員帳戶都受 OU 的 AWS CloudTrail 追蹤管理 (無論是否已註冊):

  • 當您在 AWS Control Tower 註冊帳戶時,您的帳戶受到新組織的 AWS CloudTrail 追蹤管理。如果您現有的 CloudTrail 追蹤部署,您可能會看到重複的費用,除非您在 AWS Control Tower 註冊帳戶之前刪除該帳戶的現有追蹤。

  • 如果您將帳戶移到已註冊的 OU (例如透過主控 AWS Organizations 台),並且未繼續將該帳戶註冊到 AWS Control Tower,您可能希望移除該帳戶剩餘的帳戶層級追蹤。如果您有 CloudTrail 追蹤的現有部署,則會產生重複 CloudTrail 費用。

如果您更新 landing zone 域並選擇退出組織層級的追蹤,或者您的 landing zone 域舊於 3.0 版,則組織層級的 CloudTrail追蹤不會套用至您的帳戶。

使用 VPC 註冊現有帳戶

當您在 Account Factory 佈建新帳戶時,與註冊現有帳戶相比,AWS Control Tower 處理 VPC 的方式不同。

  • 當您建立新帳戶時,AWS Control Tower 會自動移除 AWS 預設 VPC,並為該帳戶建立新的 VPC。

  • 當您註冊現有帳戶時,AWS Control Tower 不會為該帳戶建立新的 VPC。

  • 註冊現有帳戶時,AWS Control Tower 不會移除與該帳戶相關聯的任何現有 VPC 或 AWS 預設 VPC。

提示

您可以透過設定 Account Factory 來變更新帳戶的預設行為,這樣它就不會在 AWS Control Tower 下為組織中的帳戶預設設定 VPC。如需詳細資訊,請參閱 在沒有 VPC 的 AWS Control Tower 中建立帳戶

如果帳戶不符合先決條件怎麼辦?

請記住,符合 AWS Control Tower 管理資格註冊的帳戶必須屬於同一個整體組織,做為先決條件。若要滿足帳戶註冊的先決條件,您可以按照下列準備步驟將帳戶移至與 AWS Control Tower 相同的組織。

將帳戶帶入與 AWS Control Tower 相同組織的準備步驟

  1. 從其現有組織中刪除帳戶。如果您使用此方法,您必須提供個別的付款方式。

  2. 邀請帳戶加入 AWS Control Tower 組織。如需詳細資訊,請參閱AWS Organizations 使用者指南中的邀請 AWS 帳戶加入您的組織

  3. 接受邀請。該帳戶顯示在組織的根目錄中。此步驟會將帳戶移至與 AWS Control Tower 相同的組織。並建立 SCP 和合併帳單。

提示

您可以在帳戶退出舊組織之前傳送新組織的邀請。當帳戶正式退出其現有組織時,邀請將等待。

完成剩餘先決條件的步驟:

  1. 建立必要的AWSControlTowerExecution角色。

  2. 清除預設的 VPC。(此部分是可選的。 AWS Control Tower 不會變更您現有的預設 VPC。)

  3. 透過或刪除或修改任何現有的 AWS Config 組態記錄程式 AWS CLI 或傳遞通道 AWS CloudShell。如需詳細資訊,請參閱 資源狀態的 AWS Config CLI 命令範例註冊具有現有 AWS Config 資源的帳號

完成這些準備步驟後,您可以將該帳戶註冊到 AWS Control Tower。如需詳細資訊,請參閱 註冊帳戶的步驟。此步驟會將帳戶納入完整的 AWS Control Tower 管控。

取消佈建帳戶的選擇性步驟,以便註冊帳戶並保留其堆疊

  1. 若要保留套用的 AWS CloudFormation 堆疊,請從堆疊組合中刪除堆疊實體,然後為實體選擇「保留堆疊」。

  2. 在 Account Factory 中終止 AWS Service Catalog 帳戶佈建的產品。(此步驟只會從 AWS Control Tower 移除佈建的產品。 它不會刪除帳戶。)

  3. 根據不屬於組織的任何帳戶的要求,設定具有必要帳單詳細資訊的帳戶。然後從組織中移除帳戶。您可以這麼做,因此帳戶不會計入配額中的總 AWS Organizations 額。)

  4. 如果資源仍然存在,請清除帳號,然後按照中的帳號關閉步驟將其關閉取消管理帳戶

  5. 如果您有已定義控制項的已暫停 OU,您可以將帳戶移至該處,而不是執行步驟 1。

資源狀態的 AWS Config CLI 命令範例

以下是一些可用來判斷組態記錄程式和傳遞通道狀態的 AWS Config CLI 命令範例。

檢視命令:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

正常的反應是這樣的 "name": "default"

刪除命令:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

自動註冊 AWS Organizations 帳戶

您可以使用部落格文章中所述的註冊方法將現有 AWS 帳戶註冊到 AWS Control Tower,透過程式設計程序將 AWS Organizations 帳戶註冊到 AWS Control Tower。

下列 YAML 範本可協助您在帳戶中建立必要的角色,以便以程式設計方式註冊該角色。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess