Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Inscrire un existant Compte AWS
Vous pouvez étendre la gouvernance d'AWS Control Tower à un individu, existant Compte AWS lorsque vous l'inscrivez dans une unité organisationnelle (UO) déjà régie par AWS Control Tower. Les comptes éligibles existent dans des unités d'organisation non enregistrées qui font partie de la même AWS Organizations organisation que l'unité d'organisation AWS Control Tower.
Note
Vous ne pouvez pas enregistrer un compte existant comme compte d'audit ou d'archivage des journaux, sauf lors de la configuration initiale de la zone d'atterrissage.
Configurez d'abord un accès sécurisé
Avant de pouvoir inscrire un Compte AWS compte existant dans AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ou à gouverner le compte. Plus précisément, AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de AWS CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de l'organisation que vous avez sélectionnée. Grâce à cet accès fiable, le AWSControlTowerExecution
rôle mène les activités nécessaires à la gestion de chaque compte. C'est pourquoi vous devez ajouter ce rôle à chaque compte avant de l'inscrire.
Lorsque l'accès sécurisé est activé, AWS CloudFormation vous pouvez créer, mettre à jour ou supprimer des piles sur plusieurs comptes et Régions AWS en une seule opération. AWS Control Tower s'appuie sur cette capacité de confiance pour appliquer des rôles et des autorisations aux comptes existants avant de les transférer dans une unité organisationnelle enregistrée, et de les placer ainsi sous gouvernance.
Pour en savoir plus sur l'accès sécurisé AWS CloudFormation StackSets, consultez AWS CloudFormationStackSetset AWS Organizations.
Que se passe-t-il lors de l'inscription au compte
Au cours du processus d'inscription, AWS Control Tower effectue les actions suivantes :
-
Établit la référence du compte, ce qui inclut le déploiement de ces ensembles de piles :
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL
-
AWSControlTowerBP-BASELINE-CLOUDWATCH
-
AWSControlTowerBP-BASELINE-CONFIG
-
AWSControlTowerBP-BASELINE-ROLES
-
AWSControlTowerBP-BASELINE-SERVICE-ROLES
-
AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES
-
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
Il est conseillé de passer en revue les modèles de ces ensembles de piles et de s'assurer qu'ils ne sont pas en conflit avec vos stratégies existantes.
-
-
Identifie le compte par le biais de AWS IAM Identity Center ou AWS Organizations.
-
Place le compte dans l'unité d'organisation que vous avez spécifiée. Veillez à appliquer tous les SCP qui sont appliqués dans l'unité d'organisation actuelle, afin que votre situation de sécurité reste cohérente.
-
Applique les contrôles obligatoires au compte au moyen des SCP qui s'appliquent à l'unité d'organisation sélectionnée dans son ensemble.
Active AWS Config et configure le système pour enregistrer toutes les ressources du compte.
-
Ajoute les AWS Config règles qui appliquent les contrôles de détection d'AWS Control Tower au compte.
Comptes et parcours au niveau de l'organisation CloudTrail
Tous les comptes des membres d'une UO sont régis par l' AWS CloudTrail historique de l'UO, qu'ils soient inscrits ou non :
-
Lorsque vous enregistrez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de la nouvelle organisation. Si vous avez déjà déployé une version d'essai CloudTrail , des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower.
-
Si vous transférez un compte vers une unité d'organisation enregistrée, par exemple au moyen de la AWS Organizations console, et que vous ne procédez pas à l'inscription du compte dans AWS Control Tower, vous souhaiterez peut-être supprimer les traces restantes au niveau du compte. Si vous avez déjà déployé un CloudTrail trail, vous devrez payer des CloudTrail frais supplémentaires.
Si vous mettez à jour votre zone d'atterrissage et que vous choisissez de ne plus participer aux pistes au niveau de l'organisation, ou si votre zone d'atterrissage est antérieure à la version 3.0, les CloudTrail pistes au niveau de l'organisation ne s'appliquent pas à vos comptes.
Inscription de comptes existants auprès de VPC
AWS Control Tower gère les VPC différemment lorsque vous créez un nouveau compte dans Account Factory ou lorsque vous enregistrez un compte existant.
-
Lorsque vous créez un nouveau compte, AWS Control Tower supprime automatiquement le VPC AWS par défaut et crée un nouveau VPC pour ce compte.
-
Lorsque vous enregistrez un compte existant, AWS Control Tower ne crée pas de nouveau VPC pour ce compte.
-
Lorsque vous enregistrez un compte existant, AWS Control Tower ne supprime aucun VPC existant ou VPC AWS par défaut associé au compte.
Astuce
Vous pouvez modifier le comportement par défaut des nouveaux comptes en configurant Account Factory, afin qu'il ne configure pas de VPC par défaut pour les comptes de votre organisation sous AWS Control Tower. Pour plus d’informations, consultez Créez un compte dans AWS Control Tower sans VPC.
Et si le compte ne répond pas aux prérequis ?
N'oubliez pas que, comme condition préalable, les comptes éligibles à l'inscription à la gouvernance d'AWS Control Tower doivent faire partie de la même organisation globale. Pour remplir cette condition préalable à l'enregistrement d'un compte, vous pouvez suivre ces étapes préparatoires pour transférer un compte dans la même organisation qu'AWS Control Tower.
Étapes préparatoires à l'intégration d'un compte dans la même organisation qu'AWS Control Tower
-
Supprimez le compte de son organisation existante. Vous devez fournir un mode de paiement distinct si vous utilisez cette approche.
-
Invitez le compte à rejoindre l'organisation AWS Control Tower. Pour plus d'informations, voir Inviter un AWS compte à rejoindre votre organisation dans le Guide de AWS Organizations l'utilisateur.
-
Acceptez l'invitation. Le compte apparaît à la racine de l'organisation. Cette étape déplace le compte vers la même organisation qu'AWS Control Tower et établit les SCP et la facturation consolidée.
Astuce
Vous pouvez envoyer l'invitation à la nouvelle organisation avant que le compte ne soit supprimé de l'ancienne organisation. L'invitation sera en attente lorsque le compte sera officiellement retiré de son organisation existante.
Étapes pour remplir les autres conditions préalables :
-
Créez le
AWSControlTowerExecution
rôle nécessaire. -
Supprimez le VPC par défaut. (Cette partie est facultative. AWS Control Tower ne modifie pas votre VPC par défaut existant.)
-
Supprimez ou modifiez tout enregistreur AWS Config de configuration ou canal de distribution existant via le AWS CLI ou AWS CloudShell. Pour plus d’informations, consultez Exemples de commandes AWS Config CLI pour l'état des ressources et Inscrire des comptes disposant de ressources existantes AWS Config
Une fois ces étapes préparatoires terminées, vous pouvez inscrire le compte dans AWS Control Tower. Pour plus d’informations, consultez Étapes pour créer un compte. Cette étape intègre le compte à la gouvernance complète d'AWS Control Tower.
Étapes facultatives pour déprovisionner un compte, afin qu'il puisse être inscrit et conserver sa pile
-
Pour conserver la AWS CloudFormation pile appliquée, supprimez l'instance de pile des ensembles de piles et choisissez Conserver les piles pour l'instance.
-
Résiliez le produit approvisionné par le AWS Service Catalog compte dans Account Factory. (Cette étape supprime uniquement le produit provisionné d'AWS Control Tower. Cela ne supprime pas le compte.)
-
Configurez le compte avec les informations de facturation nécessaires, comme c'est le cas pour tout compte n'appartenant pas à une organisation. Supprimez ensuite le compte de l'organisation. (Vous faites cela pour que le compte ne soit pas pris en compte dans le total de votre AWS Organizations quota.)
-
Nettoyez le compte s'il reste des ressources, puis fermez-le en suivant les étapes de fermeture du compte indiquéesAnnuler la gestion d'un compte.
-
Si vous avez une unité d'organisation suspendue avec des commandes définies, vous pouvez y déplacer le compte au lieu de passer à l'étape 1.
Exemples de commandes AWS Config CLI pour l'état des ressources
Voici quelques exemples de commandes AWS Config CLI que vous pouvez utiliser pour déterminer l'état de votre enregistreur de configuration et de votre canal de diffusion.
Commandes d'affichage :
-
aws configservice describe-delivery-channels
-
aws configservice describe-delivery-channel-status
-
aws configservice describe-configuration-recorders
La réponse normale est quelque chose comme "name": "default"
Commandes de suppression :
-
aws configservice stop-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-delivery-channel --delivery-channel-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
Inscription automatique des AWS Organizations comptes
Vous pouvez utiliser la méthode d'inscription décrite dans un billet de blog intitulé Enroll existing AWS accounts into AWS Control Tower
Le modèle YAML suivant peut vous aider à créer le rôle requis dans un compte, afin qu'il puisse être inscrit par programme.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess