Inscribir unCuenta de AWS

Puede extender la gobernanza de AWS Control Tower a una persona existenteCuenta de AWScuando túenrolarse convierte en una unidad organizativa (OU) que ya está gobernada por AWS Control Tower. Las cuentas aptas existen enOU no registradas que forman parte de la mismaAWS Organizationsorganizacióncomo la unidad organizativa de la Torre de Control de AWS.

nota

No puedes inscribir una cuenta existente para que sirva como cuenta de auditoría o archivo de registros, excepto durante la configuración inicial de landing zone.

Configure primero el acceso confiable

Antes de poder inscribir un ya existenteCuenta de AWSen la Torre de Control de AWS, debe dar permiso para que la Torre de Control de AWS administre, ogobernar, la cuenta. En concreto, AWS Control Tower requiere permiso para establecer un acceso de confianza entreAWS CloudFormationyAWS Organizationsen tu nombre, para queAWS CloudFormationpuede implementar su pila automáticamente en las cuentas de la organización que haya seleccionado. Con este acceso confiable, elAWSControlTowerExecutionel rol lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso debes añadir este rol a cada cuenta antes de inscribirla.

Cuando el acceso confiable esté habilitado,AWS CloudFormationpuede crear, actualizar o eliminar pilas en varias cuentas yRegiones de AWScon una sola operación AWS Control Tower se basa en esta capacidad de confianza para poder aplicar funciones y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, ponerlas bajo control.

Para obtener más información sobre acceso confiable yAWS CloudFormation StackSets, véaseAWS CloudFormationStackSetsyAWS Organizations.

Qué sucede durante la inscripción de la cuenta

Durante el proceso de inscripción, AWS Control Tower realiza las siguientes acciones:

• Establece la cuenta, que incluye la implementación de estos conjuntos de pilas:

  • AWSControlTowerBP-BASELINE-CLOUDTRAIL

  • AWSControlTowerBP-BASELINE-CLOUDWATCH

  • AWSControlTowerBP-BASELINE-CONFIG

  • AWSControlTowerBP-BASELINE-ROLES

  • AWSControlTowerBP-BASELINE-SERVICE-ROLES

  • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

  • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

  Es buena idea revisar las plantillas de estos conjuntos de pilas y asegurarse de que no entren en conflicto con las políticas existentes.

• Identifica la cuenta a través de AWS IAM Identity Center o AWS Organizations.

• Coloca la cuenta en la unidad organizativa que ha especificado. Asegúrese de aplicar todos los SCP que se aplican en la unidad organizativa actual, de modo que su posición de seguridad siga siendo coherente.

• Aplica los controles obligatorios a la cuenta mediante los SCP que se aplican a la OU seleccionada en su conjunto.

• HabilitaAWS Configy lo configura para registrar todos los recursos de la cuenta.

• Añade elAWS Configreglas que aplican los controles de detective de la Torre de Control Tower de AWS a la cuenta.

A nivel de cuentas y organización CloudTrail senderos

Todas las cuentas de los miembros de una OU se rigen por laAWS CloudTrailprueba de la OU, esté inscrita o no:

• Cuando inscribe una cuenta en AWS Control Tower, esta se rige por laAWS CloudTrailsendero para la nueva organización. Si ya tiene una implementación de un CloudTrail seguimiento, es posible que vea cargos duplicados a menos que elimine el registro existente de la cuenta antes de inscribirla en AWS Control Tower.

• Si traslada una cuenta a una OU registrada, por ejemplo, mediante elAWS Organizationsconsola: si no procede a inscribir la cuenta en AWS Control Tower, es posible que desee eliminar cualquier rastro restante a nivel de cuenta de la cuenta. Si ya tiene una implementación de un CloudTrail rastro, incurrirá en un duplicado CloudTrail cargos.

Si actualizas tu landing zone y decides excluirte de las rutas a nivel de organización, o si tu landing zone es anterior a la versión 3.0, a nivel de organización CloudTrailLas rutas no se aplican a sus cuentas.

Inscribir cuentas existentes en VPC

AWS Control Tower gestiona las VPC de forma diferente cuando aprovisiona una nueva cuenta en Account Factory que cuando inscribe una cuenta existente.

• Al crear una cuenta nueva, AWS Control Tower elimina automáticamente laAWSVPC predeterminada y crea una nueva VPC para esa cuenta.

• Al inscribir una cuenta existente, AWS Control Tower no crea una nueva VPC para esa cuenta.

• Al inscribir una cuenta existente, AWS Control Tower no elimina ninguna VPC existente niAWSVPC predeterminada asociada a la cuenta.

sugerencia

Puede cambiar el comportamiento predeterminado de las cuentas nuevas configurando Account Factory, de modo que no configure una VPC de forma predeterminada para las cuentas de su organización en AWS Control Tower. Para obtener más información, consulte Cree una cuenta en AWS Control Tower sin una VPC.

¿Qué sucede si la cuenta no cumple los requisitos previos?

Recuerde que, como requisito previo, las cuentas que puedan inscribirse en el gobierno de la Torre de Control de AWS deben formar parte de la misma organización general. Para cumplir con este requisito previo para la inscripción de una cuenta, puede seguir estos pasos preparatorios para trasladar una cuenta a la misma organización que AWS Control Tower.

Pasos preparatorios para incorporar una cuenta a la misma organización que AWS Control Tower

1. Elimine la cuenta de su organización actual. Si utilizas este método de pago, debes proporcionar un método de pago diferente.

2. Invite a la cuenta a unirse a la organización de la Torre de Control de AWS. Para obtener más información, consulteInvitar a unAWScuenta para unirse a su organizaciónen elAWS OrganizationsGuía de usuario.

3. Acepta la invitación. La cuenta aparece en la raíz de la organización. Este paso mueve la cuenta a la misma organización que AWS Control Tower y establece los SCP y la facturación unificada.

sugerencia

Puede enviar la invitación a la nueva organización antes de que la cuenta deje de pertenecer a la antigua. La invitación estará pendiente cuando la cuenta abandone oficialmente su organización actual.

Pasos para cumplir los requisitos previos restantes:

1. Crea lo necesarioAWSControlTowerExecutionrol.

2. Borra la VPC predeterminada. (Esta parte es opcional. (AWS Control Tower no cambia su VPC predeterminada actual).

3. Elimine o modifique cualquier elemento existenteAWS Configgrabador de configuración o canal de entrega a través delAWS CLIoAWS CloudShell. Para obtener más información, consulte EjemploAWS ConfigComandos CLI para el estado de los recursos y Inscribir cuentas que cuenten con AWS Config recursos existentes

Una vez que haya completado estos pasos preparatorios, podrá inscribir la cuenta en AWS Control Tower. Para obtener más información, consulte Pasos para registrar una cuenta. Este paso lleva la cuenta al gobierno completo de la Torre de Control de AWS.

Pasos opcionales para anular el aprovisionamiento de una cuenta y poder inscribirla y conservar su pila

1. Para conservar lo solicitadoAWS CloudFormationpila, elimina la instancia de pila de los conjuntos de pilas y eligeConserva las pilaspor ejemplo.

2. Finalice el producto aprovisionado para la cuenta enAWS Service CatalogAccount Factory. (Este paso solo elimina el producto aprovisionado de AWS Control Tower. No elimina la cuenta.)

3. Configura la cuenta con los detalles de facturación necesarios, como se requiere para cualquier cuenta que no pertenezca a una organización. A continuación, elimine la cuenta de la organización. (Si lo haces, la cuenta no se descontará del total de tu cuentaAWS Organizationscuota.)

4. Limpie la cuenta si quedan recursos y, a continuación, ciérrela siguiendo los pasos de cierre de la cuenta que se indicanAnule la administración de una cuenta.

5. Si tienesSuspendidoO con controles definidos, puede mover la cuenta allí en lugar de realizar el paso 1.

EjemploAWS ConfigComandos CLI para el estado de los recursos

Aquí hay algunos ejemplosAWS ConfigComandos de CLI que puede utilizar para determinar el estado de la grabadora de configuración y del canal de entrega.

Comandos de visualización:

• aws configservice describe-delivery-channels

• aws configservice describe-delivery-channel-status

• aws configservice describe-configuration-recorders

La respuesta normal es algo así como"name": "default"

Comandos de eliminación:

• aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

• aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

• aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Inscripción automática deAWS Organizationscuentas

Puedes usar el método de inscripción descrito en una entrada de blog llamadaInscribir existentesAWScuentas en AWS Control Towerpara inscribir suAWS Organizationscuentas en AWS Control Tower mediante un proceso programático.

La siguiente plantilla de YAML puede ayudarle a crear el rol necesario en una cuenta para poder inscribirla mediante programación.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess