Inscribir un ya existente Cuenta de AWS - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inscribir un ya existente Cuenta de AWS

Puede extender la gobernanza de la Torre de AWS Control a una persona, ya existente Cuenta de AWS al inscribirla en una unidad organizativa (OU) que ya esté gobernada por la Torre de AWS Control. Existen cuentas aptas no registradas OUs que forman parte de la misma AWS Organizations organización que la OU de AWS Control Tower.

nota

No puedes inscribir una cuenta existente para que sirva como cuenta de auditoría o archivo de registros, excepto durante la configuración inicial de landing zone.

Configure primero el acceso confiable

Antes de poder inscribir una Cuenta de AWS cuenta existente en AWS Control Tower, debes dar permiso para que AWS Control Tower administre o gobierne la cuenta. En concreto, AWS Control Tower requiere permiso para establecer un acceso confiable entre AWS CloudFormation y AWS Organizations en su nombre, de modo que AWS CloudFormation pueda implementar su pila automáticamente en las cuentas de la organización seleccionada. Con este acceso confiable, el AWSControlTowerExecution rol lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso, debes agregar este rol a cada cuenta antes de inscribirla.

Cuando el acceso de confianza está activado, AWS CloudFormation puedes crear, actualizar o eliminar pilas en varias cuentas y Regiones de AWS con una sola operación. AWSControl Tower se basa en esta capacidad de confianza para poder aplicar funciones y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, ponerlas bajo control.

Para obtener más información sobre el acceso confiable y AWS CloudFormation StackSets, consulte AWS CloudFormationStackSets y AWS Organizations.

¿Qué ocurre durante la inscripción de la cuenta

Durante el proceso de inscripción, AWS Control Tower realiza las siguientes acciones:

  • Establece la cuenta, que incluye la implementación de estos conjuntos de pilas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Es buena idea revisar las plantillas de estos conjuntos de pilas y asegurarse de que no entren en conflicto con las políticas existentes.

  • Identifica la cuenta mediante AWS IAM Identity Center o AWS Organizations.

  • Coloca la cuenta en la unidad organizativa que ha especificado. Asegúrese de aplicar todo lo SCPs que se aplica en la unidad organizativa actual, de modo que su postura de seguridad siga siendo coherente.

  • Aplica los controles obligatorios a la cuenta mediante los SCPs que se aplican a la OU seleccionada en su conjunto.

  • La habilita AWS Config y configura para registrar todos los recursos de la cuenta.

  • Agrega las AWS Config reglas que aplican los controles de detective de la Torre de AWS Control Tower a la cuenta.

Cuentas y rutas a nivel de organización CloudTrail

Todas las cuentas de los miembros de una OU se rigen por el AWS CloudTrail registro de la OU, estén inscritas o no:

  • Cuando inscribes una cuenta en AWS Control Tower, tu cuenta se rige por la AWS CloudTrail ruta de la nueva organización. Si ya tienes una implementación de una CloudTrail ruta, es posible que veas cargos duplicados a menos que elimines la ruta existente de la cuenta antes de inscribirla en AWS Control Tower.

  • Si traslada una cuenta a una OU registrada (por ejemplo, mediante la AWS Organizations consola) y no procede a inscribir la cuenta en la Torre de AWS Control Tower, tal vez desee eliminar cualquier rastro restante a nivel de cuenta de la cuenta. Si ya tienes una CloudTrail ruta desplegada, incurrirás en cargos duplicados. CloudTrail

Si actualizas tu landing zone y decides excluirte de las rutas a nivel de organización, o si tu landing zone es anterior a la versión 3.0, las CloudTrail rutas a nivel de organización no se aplican a tus cuentas.

Inscribir cuentas existentes en VPCs

AWSControl Tower actúa de VPCs forma diferente cuando aprovisionas una cuenta nueva en Account Factory que cuando inscribes una cuenta existente.

  • Al crear una cuenta nueva, AWS Control Tower elimina automáticamente la cuenta AWS predeterminada VPC y crea una nueva VPC para esa cuenta.

  • Cuando inscribes una cuenta existente, AWS Control Tower no crea una nueva VPC para esa cuenta.

  • Al inscribir una cuenta existente, AWS Control Tower no elimina ninguna cuenta existente VPC o AWS predeterminada VPC asociada a la cuenta.

sugerencia

Puede cambiar el comportamiento predeterminado de las cuentas nuevas configurando Account Factory, de modo que no configure un comportamiento VPC predeterminado para las cuentas de su organización en AWS Control Tower. Para obtener más información, consulte Cree una cuenta en AWS Control Tower sin una VPC.

Ejemplos de AWS Config CLI comandos para el estado de los recursos

Estos son algunos ejemplos de AWS Config CLI comandos que puede usar para determinar el estado de su grabadora de configuración y canal de entrega.

Comandos de visualización:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La respuesta normal es algo así como "name": "default"

Comandos de eliminación:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

La siguiente YAML plantilla puede ayudarle a crear el rol necesario en una cuenta para poder inscribirla mediante programación.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess