Registrieren von Konten mit vorhandenen AWS Config Ressourcen - AWS Control Tower
Schritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur Zulassungsliste von AWS Control Tower hinzuzufügenSchritt 2: Erstellen einer neuen IAM-Rolle im Mitgliedskonto Schritt 3: Identifizieren der AWS Regionen mit bereits vorhandenen Ressourcen Schritt 4: Identifizieren der AWS Regionen ohne AWS Config RessourcenSchritt 5: Ändern der vorhandenen Ressourcen in jeder AWS RegionSchritt 5a. AWS Config Recorder-RessourcenSchritt 5b. Ändern der Ressourcen des AWS Config Übermittlungskanals Schritt 5c. Ändern von Ressourcen für die AWS Config AggregationsautorisierungSchritt 6: Erstellen von Ressourcen, in denen sie nicht vorhanden sind, in Regionen, die von AWS Control Tower verwaltet werden Schritt 7: Registrieren der Organisationseinheit bei AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren von Konten mit vorhandenen AWS Config Ressourcen

Dieses Thema bietet einen step-by-step Ansatz für die Registrierung von Konten mit vorhandenen AWS Config Ressourcen. Beispiele für die Überprüfung Ihrer vorhandenen Ressourcen finden Sie unter Beispiel für AWS Config CLI-Befehle für den Ressourcenstatus.

Anmerkung

Wenn Sie vorhandene AWS Konten als Audit- und Protokollarchivkonten in AWS Control Tower einbinden möchten und diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen vollständig löschen, bevor Sie diese Konten zu diesem Zweck bei AWS Control Tower registrieren können. Für Konten, die nicht zu Audit -und Protokollarchivkonten werden sollen, können Sie die vorhandenen Config-Ressourcen ändern.

Beispiele für - AWS Config Ressourcen

Hier sind einige Arten von AWS Config Ressourcen, die Ihr Konto bereits haben könnte. Diese Ressourcen müssen möglicherweise geändert werden, damit Sie Ihr Konto bei AWS Control Tower registrieren können.

  • AWS Config Recorder

  • AWS Config Übermittlungskanal

  • AWS Config Aggregationsautorisierung

Annahmen

  • Sie haben eine Landing Zone von AWS Control Tower bereitgestellt

  • Ihr Konto ist noch nicht bei AWS Control Tower registriert.

  • Ihr Konto verfügt über mindestens eine bereits vorhandene AWS Config Ressource in mindestens einer der AWS Control Tower-Regionen, die durch das Verwaltungskonto geregelt werden.

  • Ihr Konto ist nicht das AWS Control Tower-Verwaltungskonto.

  • Ihr Konto befindet sich nicht in der Governance-Abweichung.

Einen Blog, der einen automatisierten Ansatz für die Registrierung von Konten mit vorhandenen AWS Config Ressourcen beschreibt, finden Sie unter Automatisieren der Registrierung von Konten mit vorhandenen AWS Config Ressourcen in AWS Control Tower. Sie können ein einzelnes Support-Ticket für alle Konten einreichen, die Sie registrieren möchten, wie unter beschriebenSchritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur Zulassungsliste von AWS Control Tower hinzuzufügen.

Einschränkungen

  • Das Konto kann nur mithilfe des AWS Control Tower-Workflows zur Erweiterung der Governance registriert werden.

  • Wenn die Ressourcen geändert werden und eine Abweichung für das Konto erstellen, aktualisiert AWS Control Tower die Ressourcen nicht.

  • AWS Config -Ressourcen in Regionen, die nicht von AWS Control Tower verwaltet werden, werden nicht geändert.

Anmerkung

Wenn Sie versuchen, ein Konto mit vorhandenen Config-Ressourcen zu registrieren, ohne dass das Konto zur Zulassungsliste hinzugefügt wird, schlägt die Registrierung fehl. Wenn Sie anschließend versuchen, dasselbe Konto zur Zulassungsliste hinzuzufügen, kann AWS Control Tower nicht überprüfen, ob das Konto korrekt bereitgestellt wurde. Sie müssen die Bereitstellung des Kontos von AWS Control Tower aufheben, bevor Sie die Zulassungsliste anfordern und dann registrieren können. Wenn Sie das Konto nur in eine andere AWS Control Tower-Organisationseinheit verschieben, führt dies zu einer Governance-Abweichung, wodurch auch verhindert wird, dass das Konto der Zulassungsliste hinzugefügt wird.

Dieser Prozess umfasst 5 Hauptschritte.

  1. Fügen Sie das Konto der AWS Control Tower-Zulassungsliste hinzu.

  2. Erstellen Sie eine neue IAM-Rolle im Konto.

  3. Ändern Sie bereits vorhandene AWS Config Ressourcen.

  4. Erstellen Sie AWS Config Ressourcen in AWS Regionen, in denen sie nicht vorhanden sind.

  5. Registrieren Sie das Konto bei AWS Control Tower.

Bevor Sie fortfahren, sollten Sie die folgenden Erwartungen an diesen Prozess berücksichtigen.

  • AWS Control Tower erstellt keine AWS Config Ressourcen in diesem Konto.

  • Nach der Registrierung schützt AWS Control Tower automatisch die von Ihnen erstellten AWS Config Ressourcen, einschließlich der neuen IAM-Rolle.

  • Wenn nach der Registrierung Änderungen an den AWS Config Ressourcen vorgenommen werden, müssen diese Ressourcen aktualisiert werden, um sie an die AWS Control Tower-Einstellungen anzupassen, bevor Sie das Konto erneut registrieren können.

Schritt 1: Wenden Sie sich mit einem Ticket an den Kundensupport, um das Konto zur Zulassungsliste von AWS Control Tower hinzuzufügen

Fügen Sie diesen Satz in Ihre Ticket-Betreffzeile ein:

Registrieren von Konten mit vorhandenen AWS Config Ressourcen in AWS Control Tower

Fügen Sie die folgenden Details in den Tickettext ein:

  • Verwaltungskontonummer

  • Kontonummern von Mitgliedskonten, die über vorhandene AWS Config Ressourcen verfügen

  • Ihre ausgewählte Heimatregion für die Einrichtung von AWS Control Tower

Anmerkung

Die erforderliche Zeit für das Hinzufügen Ihres Kontos zur Zulassungsliste beträgt 2 Werktage.

Schritt 2: Erstellen einer neuen IAM-Rolle im Mitgliedskonto

  1. Öffnen Sie die AWS CloudFormation -Konsole für das Mitgliedskonto.

  2. Erstellen Sie einen neuen Stack mit der folgenden Vorlage

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Geben Sie den Namen für den Stack als CustomerCreatedConfigRecorderRoleForControlTower an

  4. Erstellen Sie den Stack.

Anmerkung

Alle von Ihnen erstellten SCPs sollten eine -aws-controltower-ConfigRecorderRole*Rolle ausschließen. Ändern Sie nicht die Berechtigungen, die die Fähigkeit von AWS Config Regeln zur Durchführung von Bewertungen einschränken.

Befolgen Sie diese Richtlinien, damit Sie kein erhalten, AccessDeniedException wenn Sie SCPs haben, die den Aufruf aws-controltower-ConfigRecorderRole* von Config blockieren.

Schritt 3: Identifizieren der AWS Regionen mit bereits vorhandenen Ressourcen

Identifizieren und notieren Sie sich für jede verwaltete Region (von AWS Control Tower verwaltet) im Konto die Regionen, die mindestens einen der zuvor gezeigten vorhandenen AWS Config Ressourcenbeispieltypen haben.

Schritt 4: Identifizieren der AWS Regionen ohne AWS Config Ressourcen

Identifizieren und notieren Sie für jede verwaltete Region (von AWS Control Tower verwaltet) im Konto die Regionen, in denen es keine AWS Config Ressourcen der zuvor gezeigten Beispieltypen gibt.

Schritt 5: Ändern der vorhandenen Ressourcen in jeder AWS Region

Für diesen Schritt werden die folgenden Informationen zu Ihrer AWS Control Tower-Einrichtung benötigt.

  • LOGGING_ACCOUNT – die ID des Protokollierungskontos

  • AUDIT_ACCOUNT – die Audit-Konto-ID

  • IAM_ROLE_ARN – der in Schritt 1 erstellte IAM-Rollen-ARN

  • ORGANIZATION_ID – die Organisations-ID für das Verwaltungskonto

  • MEMBER_ACCOUNT_NUMBER – das Mitgliedskonto, das geändert wird

  • HOME_REGION – die Heimatregion für die Einrichtung von AWS Control Tower.

Ändern Sie jede vorhandene Ressource, indem Sie den Anweisungen in den Abschnitten 5a bis 5c folgen.

Schritt 5a. AWS Config Recorder-Ressourcen

Pro AWS Region kann nur ein AWS Config Recorder vorhanden sein. Wenn eine vorhanden ist, ändern Sie die Einstellungen wie gezeigt. Ersetzen Sie das Element in Ihrer Heimatregion GLOBAL_RESOURCE_RECORDING durch „true“. Ersetzen Sie das Element für andere Regionen, in denen ein - AWS Config Recorder vorhanden ist, durch false.

  • Name: NICHT ÄNDERN

  • RoleARN IAM_ROLE_ARN:

    • RecordingGroup:

    • AllSupported: wahr

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Leer

Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge RECORDER_NAME durch den vorhandenen AWS Config Recorder-Namen.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Schritt 5b. Ändern der Ressourcen des AWS Config Übermittlungskanals

Pro Region kann nur ein AWS Config Übermittlungskanal vorhanden sein. Wenn ein anderes vorhanden ist, ändern Sie die Einstellungen wie gezeigt.

  • Name: NICHT ÄNDERN

  • ConfigSnapshotDeliveryProperties: TwentyFour_Stunden

  • S3BucketName: Der Name des Protokoll-Buckets aus dem AWS Control Tower-Protokollierungskonto

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: Der ARN des SNS-Themas aus dem Audit-Konto im folgenden Format:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge DELIVERY_CHANNEL_NAME durch den vorhandenen AWS Config Recorder-Namen.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Schritt 5c. Ändern von Ressourcen für die AWS Config Aggregationsautorisierung

Pro Region können mehrere Aggregationsautorisierungen vorhanden sein. AWS Control Tower erfordert eine Aggregationsautorisierung, die das Auditkonto als autorisiertes Konto angibt und die Heimatregion für AWS Control Tower als autorisierte Region hat. Wenn es nicht existiert, erstellen Sie eine neue mit den folgenden Einstellungen:

  • AuthorizedAccountId: Die Audit-Konto-ID

  • AuthorizedAwsRegion: Die Heimatregion für die AWS Control Tower-Einrichtung

Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Schritt 6: Erstellen von Ressourcen, in denen sie nicht vorhanden sind, in Regionen, die von AWS Control Tower verwaltet werden

Überarbeiten Sie die AWS CloudFormation Vorlage, sodass in Ihrer Heimatregion der IncludeGlobalResourcesTypes Parameter den Wert hatGLOBAL_RESOURCE_RECORDING, wie im folgenden Beispiel gezeigt. Aktualisieren Sie auch die erforderlichen Felder in der Vorlage, wie in diesem Abschnitt angegeben.

Ersetzen Sie das Element in Ihrer Heimatregion GLOBAL_RESOURCE_RECORDING durch „true“. Ersetzen Sie das Element für andere Regionen, in denen ein - AWS Config Recorder vorhanden ist, durch false.

  1. Navigieren Sie zur AWS CloudFormation Konsole des Verwaltungskontos.

  2. Erstellen Sie einen neuen StackSet mit dem Namen CustomerCreatedConfigResourcesForControlTower.

  3. Kopieren und aktualisieren Sie die folgende Vorlage:

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Aktualisieren Sie die Vorlage mit den erforderlichen Feldern:

    1. Ersetzen Sie im Feld S3BucketName die Felder LOGGING_ACCOUNT_ID und HOME_REGION

    2. Ersetzen Sie im Feld S3KeyPrefix die ORGANIZATION_ID

    3. Ersetzen Sie im Feld SnsTopicARN den AUDIT_ACCOUNT

    4. Ersetzen Sie im AuthorizedAccountId Feld AUDIT_ACCOUNT

    5. Ersetzen Sie im AuthorizedAwsRegion Feld die Option HOME_REGION

  4. Fügen Sie während der Bereitstellung in der AWS CloudFormation Konsole die Mitgliedskontonummer hinzu.

  5. Fügen Sie die AWS Regionen hinzu, die in Schritt 4 identifiziert wurden.

  6. Stellen Sie das Stack-Set bereit.

Schritt 7: Registrieren der Organisationseinheit bei AWS Control Tower

Registrieren Sie im AWS Control Tower-Dashboard die Organisationseinheit.

Anmerkung

Der Workflow Konto registrieren ist für diese Aufgabe nicht erfolgreich. Sie müssen OU registrieren oder OU erneut registrieren wählen.