Registriere ein vorhandenes AWS-Konto - AWS Control Tower
Was passiert bei der KontoregistrierungRegistrierung vorhandener Konten bei VPCsAWS Config CLIBeispielbefehle für den Ressourcenstatus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registriere ein vorhandenes AWS-Konto

Sie können die AWS Control Tower-Governance auf eine bestehende Einzelperson ausdehnen, AWS-Konto wenn Sie sie in eine Organisationseinheit (OU) eintragen, die bereits von AWS Control Tower verwaltet wird. In Frage kommende Konten gibt es in unregistrierten KontenOUs, die Teil derselben AWS Organizations Organisation wie die AWS Control Tower OU sind.

Anmerkung

Sie können ein vorhandenes Konto nur bei der ersten Einrichtung der landing zone als Audit- oder Protokollarchivkonto registrieren.

Richten Sie zuerst einen vertrauenswürdigen Zugriff ein

Bevor Sie ein vorhandenes AWS-Konto Konto bei AWS Control Tower registrieren können, müssen Sie AWS Control Tower die Erlaubnis erteilen, das Konto zu verwalten oder zu verwalten. Insbesondere benötigt AWS Control Tower die Erlaubnis, einen vertrauenswürdigen Zugriff zwischen AWS CloudFormation und in AWS Organizations Ihrem Namen einzurichten, damit Ihr Stack automatisch für die Konten in Ihrer ausgewählten Organisation bereitgestellt werden AWS CloudFormation kann. Mit diesem vertrauenswürdigen Zugriff führt die AWSControlTowerExecution Rolle die Aktivitäten durch, die für die Verwaltung der einzelnen Konten erforderlich sind. Aus diesem Grund müssen Sie diese Rolle jedem Konto hinzufügen, bevor Sie es registrieren.

Wenn der vertrauenswürdige Zugriff aktiviert ist, AWS CloudFormation können Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang erstellt, aktualisiert oder gelöscht werden. AWSControl Tower stützt sich auf diese Vertrauensfähigkeit, sodass es Rollen und Berechtigungen auf bestehende Konten anwenden kann, bevor es sie in eine registrierte Organisationseinheit verschiebt, wodurch sie unter Kontrolle gebracht werden.

Um mehr über vertrauenswürdigen Zugriff zu erfahren und AWS CloudFormation StackSets, siehe AWS CloudFormationStackSets und AWS Organizations.

Was passiert bei der Kontoregistrierung

Während des Registrierungsprozesses führt AWS Control Tower die folgenden Aktionen aus:

  • Grundlegende Erstellung des Kontos, darunter die Bereitstellung dieser Stack-Sets:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Es empfiehlt sich, die Vorlagen dieser Stack-Sets zu überprüfen und sicherzustellen, dass sie nicht mit Ihren bestehenden Richtlinien in Konflikt stehen.

  • Identifiziert das Konto über AWS IAM Identity Center oder. AWS Organizations

  • Platziert des Kontos in der von Ihnen angegebenen OU. Achten Sie daraufSCPs, dass Sie alle in der aktuellen Organisationseinheit verwendeten Elemente anwenden, damit Ihr Sicherheitsstatus konsistent bleibt.

  • Wendet verbindliche Kontrollen auf das Konto an, und zwar anhand derSCPs, die für die gesamte ausgewählte Organisationseinheit gelten.

  • Aktiviert AWS Config und konfiguriert es so, dass alle Ressourcen im Konto aufgezeichnet werden.

  • Fügt dem Konto die AWS Config Regeln hinzu, die die Kontrollen des AWS Control Tower Tower-Detektivs anwenden.

Konten und Trails auf Organisationsebene CloudTrail

Alle Mitgliedskonten in einer Organisationseinheit unterliegen dem AWS CloudTrail Pfad für die Organisationseinheit, unabhängig davon, ob sie registriert sind oder nicht:

  • Wenn Sie ein Konto bei AWS Control Tower registrieren, wird Ihr Konto durch den AWS CloudTrail Pfad für die neue Organisation geregelt. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.

  • Wenn Sie ein Konto in eine registrierte OUs verschieben — zum Beispiel über die AWS Organizations Konsole — und das Konto nicht bei AWS Control Tower registrieren, möchten Sie möglicherweise alle verbleibenden Trails auf Kontoebene für das Konto entfernen. Wenn Sie bereits einen CloudTrail Trail eingerichtet haben, fallen für Sie doppelte Gebühren an. CloudTrail

Wenn du deine landing zone aktualisierst und dich dafür entscheidest, Trails auf Organisationsebene zu deaktivieren, oder wenn deine landing zone älter als Version 3.0 ist, gelten CloudTrail Trails auf Organisationsebene nicht für deine Konten.

Registrierung vorhandener Konten bei VPCs

AWSControl Tower geht VPCs anders vor, wenn Sie ein neues Konto in Account Factory einrichten, als wenn Sie ein bestehendes Konto registrieren.

  • Wenn Sie ein neues Konto erstellen, entfernt AWS Control Tower automatisch das AWS Standardkonto VPC und erstellt ein neues Konto VPC für dieses Konto.

  • Wenn Sie ein bestehendes Konto registrieren, erstellt AWS Control Tower kein neues VPC für dieses Konto.

  • Wenn Sie ein bestehendes Konto registrieren, entfernt AWS Control Tower keine vorhandenen VPC oder AWS standardmäßigen Konten, die mit dem Konto VPC verknüpft sind.

Tipp

Sie können das Standardverhalten für neue Konten ändern, indem Sie Account Factory so konfigurieren, dass unter AWS Control Tower kein Standardverhalten für Konten in Ihrer Organisation eingerichtet VPC wird. Weitere Informationen finden Sie unter Erstellen Sie ein Konto in AWS Control Tower ohne VPC.

AWS Config CLIBeispielbefehle für den Ressourcenstatus

Im Folgenden finden Sie einige AWS Config CLI Beispielbefehle, mit denen Sie den Status Ihres Konfigurationsrekorders und Ihres Bereitstellungskanals ermitteln können.

Befehle anzeigen:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

Die normale Antwort ist so etwas wie "name": "default"

Befehle löschen:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Die folgende YAML Vorlage kann Ihnen dabei helfen, die erforderliche Rolle in einem Konto zu erstellen, sodass es programmgesteuert registriert werden kann.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess