Inscrire un existant Compte AWS - AWS Control Tower
Que se passe-t-il lors de l'inscription au compteInscription de comptes existants auprès de VPCEt si le compte ne répond pas aux prérequis ?Exemples de commandes AWS Config CLI pour l'état des ressourcesInscription automatique des AWS Organizations comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inscrire un existant Compte AWS

Vous pouvez étendre la gouvernance d'AWS Control Tower à un individu, existant Compte AWS lorsque vous l'inscrivez dans une unité organisationnelle (UO) déjà régie par AWS Control Tower. Les comptes éligibles existent dans des unités d'organisation non enregistrées qui font partie de la même AWS Organizations organisation que l'unité d'organisation AWS Control Tower.

Note

Vous ne pouvez pas enregistrer un compte existant comme compte d'audit ou d'archivage des journaux, sauf lors de la configuration initiale de la zone d'atterrissage.

Configurez d'abord un accès sécurisé

Avant de pouvoir inscrire un Compte AWS compte existant dans AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ou à gouverner le compte. Plus précisément, AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de AWS CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de l'organisation que vous avez sélectionnée. Grâce à cet accès fiable, le AWSControlTowerExecution rôle mène les activités nécessaires à la gestion de chaque compte. C'est pourquoi vous devez ajouter ce rôle à chaque compte avant de l'inscrire.

Lorsque l'accès sécurisé est activé, AWS CloudFormation vous pouvez créer, mettre à jour ou supprimer des piles sur plusieurs comptes et Régions AWS en une seule opération. AWS Control Tower s'appuie sur cette capacité de confiance pour appliquer des rôles et des autorisations aux comptes existants avant de les transférer dans une unité organisationnelle enregistrée, et de les placer ainsi sous gouvernance.

Pour en savoir plus sur l'accès sécurisé AWS CloudFormation StackSets, consultez AWS CloudFormationStackSetset AWS Organizations.

Que se passe-t-il lors de l'inscription au compte

Au cours du processus d'inscription, AWS Control Tower effectue les actions suivantes :

  • Établit la référence du compte, ce qui inclut le déploiement de ces ensembles de piles :

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Il est conseillé de passer en revue les modèles de ces ensembles de piles et de s'assurer qu'ils ne sont pas en conflit avec vos stratégies existantes.

  • Identifie le compte par le biais de AWS IAM Identity Center ou AWS Organizations.

  • Place le compte dans l'unité d'organisation que vous avez spécifiée. Veillez à appliquer tous les SCP qui sont appliqués dans l'unité d'organisation actuelle, afin que votre situation de sécurité reste cohérente.

  • Applique les contrôles obligatoires au compte au moyen des SCP qui s'appliquent à l'unité d'organisation sélectionnée dans son ensemble.

  • Active AWS Config et configure le système pour enregistrer toutes les ressources du compte.

  • Ajoute les AWS Config règles qui appliquent les contrôles de détection d'AWS Control Tower au compte.

Comptes et parcours au niveau de l'organisation CloudTrail

Tous les comptes des membres d'une UO sont régis par l' AWS CloudTrail historique de l'UO, qu'ils soient inscrits ou non :

  • Lorsque vous enregistrez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de la nouvelle organisation. Si vous avez déjà déployé une version d'essai CloudTrail , des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower.

  • Si vous transférez un compte vers une unité d'organisation enregistrée, par exemple au moyen de la AWS Organizations console, et que vous ne procédez pas à l'inscription du compte dans AWS Control Tower, vous souhaiterez peut-être supprimer les traces restantes au niveau du compte. Si vous avez déjà déployé un CloudTrail trail, vous devrez payer des CloudTrail frais supplémentaires.

Si vous mettez à jour votre zone d'atterrissage et que vous choisissez de ne plus participer aux pistes au niveau de l'organisation, ou si votre zone d'atterrissage est antérieure à la version 3.0, les CloudTrail pistes au niveau de l'organisation ne s'appliquent pas à vos comptes.

Inscription de comptes existants auprès de VPC

AWS Control Tower gère les VPC différemment lorsque vous créez un nouveau compte dans Account Factory ou lorsque vous enregistrez un compte existant.

  • Lorsque vous créez un nouveau compte, AWS Control Tower supprime automatiquement le VPC AWS par défaut et crée un nouveau VPC pour ce compte.

  • Lorsque vous enregistrez un compte existant, AWS Control Tower ne crée pas de nouveau VPC pour ce compte.

  • Lorsque vous enregistrez un compte existant, AWS Control Tower ne supprime aucun VPC existant ou VPC AWS par défaut associé au compte.

Astuce

Vous pouvez modifier le comportement par défaut des nouveaux comptes en configurant Account Factory, afin qu'il ne configure pas de VPC par défaut pour les comptes de votre organisation sous AWS Control Tower. Pour plus d’informations, consultez Créez un compte dans AWS Control Tower sans VPC.

Et si le compte ne répond pas aux prérequis ?

N'oubliez pas que, comme condition préalable, les comptes éligibles à l'inscription à la gouvernance d'AWS Control Tower doivent faire partie de la même organisation globale. Pour remplir cette condition préalable à l'enregistrement d'un compte, vous pouvez suivre ces étapes préparatoires pour transférer un compte dans la même organisation qu'AWS Control Tower.

Étapes préparatoires à l'intégration d'un compte dans la même organisation qu'AWS Control Tower

  1. Supprimez le compte de son organisation existante. Vous devez fournir un mode de paiement distinct si vous utilisez cette approche.

  2. Invitez le compte à rejoindre l'organisation AWS Control Tower. Pour plus d'informations, voir Inviter un AWS compte à rejoindre votre organisation dans le Guide de AWS Organizations l'utilisateur.

  3. Acceptez l'invitation. Le compte apparaît à la racine de l'organisation. Cette étape déplace le compte vers la même organisation qu'AWS Control Tower et établit les SCP et la facturation consolidée.

Astuce

Vous pouvez envoyer l'invitation à la nouvelle organisation avant que le compte ne soit supprimé de l'ancienne organisation. L'invitation sera en attente lorsque le compte sera officiellement retiré de son organisation existante.

Étapes pour remplir les autres conditions préalables :

  1. Créez le AWSControlTowerExecution rôle nécessaire.

  2. Supprimez le VPC par défaut. (Cette partie est facultative. AWS Control Tower ne modifie pas votre VPC par défaut existant.)

  3. Supprimez ou modifiez tout enregistreur AWS Config de configuration ou canal de distribution existant via le AWS CLI ou AWS CloudShell. Pour plus d’informations, consultez Exemples de commandes AWS Config CLI pour l'état des ressources et Inscrire des comptes disposant de ressources existantes AWS Config

Une fois ces étapes préparatoires terminées, vous pouvez inscrire le compte dans AWS Control Tower. Pour plus d’informations, consultez Étapes pour créer un compte. Cette étape intègre le compte à la gouvernance complète d'AWS Control Tower.

Étapes facultatives pour déprovisionner un compte, afin qu'il puisse être inscrit et conserver sa pile

  1. Pour conserver la AWS CloudFormation pile appliquée, supprimez l'instance de pile des ensembles de piles et choisissez Conserver les piles pour l'instance.

  2. Résiliez le produit approvisionné par le AWS Service Catalog compte dans Account Factory. (Cette étape supprime uniquement le produit provisionné d'AWS Control Tower. Cela ne supprime pas le compte.)

  3. Configurez le compte avec les informations de facturation nécessaires, comme c'est le cas pour tout compte n'appartenant pas à une organisation. Supprimez ensuite le compte de l'organisation. (Vous faites cela pour que le compte ne soit pas pris en compte dans le total de votre AWS Organizations quota.)

  4. Nettoyez le compte s'il reste des ressources, puis fermez-le en suivant les étapes de fermeture du compte indiquéesAnnuler la gestion d'un compte.

  5. Si vous avez une unité d'organisation suspendue avec des commandes définies, vous pouvez y déplacer le compte au lieu de passer à l'étape 1.

Exemples de commandes AWS Config CLI pour l'état des ressources

Voici quelques exemples de commandes AWS Config CLI que vous pouvez utiliser pour déterminer l'état de votre enregistreur de configuration et de votre canal de diffusion.

Commandes d'affichage :

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La réponse normale est quelque chose comme "name": "default"

Commandes de suppression :

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Inscription automatique des AWS Organizations comptes

Vous pouvez utiliser la méthode d'inscription décrite dans un billet de blog intitulé Enroll existing AWS accounts into AWS Control Tower pour inscrire vos AWS Organizations comptes dans AWS Control Tower par le biais d'un processus programmatique.

Le modèle YAML suivant peut vous aider à créer le rôle requis dans un compte, afin qu'il puisse être inscrit par programme.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess