Inscrire des comptes qui ont déjàAWS Configressources - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inscrire des comptes qui ont déjàAWS Configressources

Cette rubrique fournit un step-by-step approche pour inscrire des comptes qui ont déjàAWS ConfigRessources. Pour des exemples de vérification de vos ressources existantes, voirExempleAWS ConfigCommandes CLI pour l'état des ressources.

Note

Si vous envisagez d'apporter desAWScomptes dans AWS Control Tower en tant queAuditetArchive du journalcomptes, et si ces comptes existentAWS ConfigRessources, vous devez supprimer les existantesAWS Configressources avant de pouvoir inscrire les comptes dans AWS Control Tower.

Exemples deAWS Configressources

Voici quelques types deAWS Configdes ressources que votre compte pourrait déjà avoir. Ces ressources peuvent avoir besoin d'être modifiées afin que vous puissiez inscrire votre compte dans AWS Control Tower.

  • AWS Configenregistreur

  • AWS Configcanal de livraison

  • AWS Configautorisation d'agrégation

Hypothèses

  • Votre compte n'est pas encore inscrit à AWS Control Tower.

  • Votre compte a au moins un existantAWS Configressource dans au moins l'une des régions de la AWS Control Tower régie par le compte de gestion.

Pour un blog qui décrit une approche automatisée de l'inscription de comptes avec desAWS ConfigRessources, voirAutomatisez l'inscription de comptes avec des comptesAWS ConfigRessources dans AWS Control Tower. Vous serez en mesure de soumettre un seul ticket d'assistance pour tous les comptes que vous souhaitez inscrire, comme décrit dansÉtape 1 : Contactez le support client avec un ticket, pour ajouter le compte à la liste d'autorisation d'AWS Control Tower, qui suit.

Limites

  • Le compte ne peut être inscrit qu'en utilisant le flux de travail AWS Control Tower pour étendre la gouvernance.

  • Si les ressources sont modifiées et créent une dérive sur le compte, AWS Control Tower ne met pas à jour les ressources.

  • AWS Configles ressources des régions qui ne sont pas régies par AWS Control Tower ne sont pas modifiées.

Ce processus comporte 5 étapes principales.

  1. Ajoutez le compte à la liste d'autorisation d'AWS Control Tower.

  2. Créez un nouveau rôle IAM dans le compte.

  3. Modifier une version préexistanteAWS ConfigRessources.

  4. CréationAWS ConfigRessources dansAWSDes régions où ils n'existent pas.

  5. Enregistrez le compte auprès d'AWS Control Tower.

Avant de poursuivre, considérez les attentes suivantes concernant ce processus.

  • AWS Control Tower ne crée aucunAWS Configressources de ce compte.

  • Après l'inscription, les garde-corps de la AWS Control Tower protègent automatiquementAWS Configles ressources que vous avez créées, y compris le nouveau rôle IAM.

  • Si des modifications sont apportées auAWS Configressources après inscription, ces ressources doivent être mises à jour pour s'aligner sur les paramètres d'AWS Control Tower avant de pouvoir réinscrire le compte.

Étape 1 : Contactez le support client avec un ticket, pour ajouter le compte à la liste d'autorisation d'AWS Control Tower

Incluez cette phrase dans l'objet de votre billet :

Inscrire des comptes qui ont déjàAWS ConfigRessources dans AWS Control Tower

Indiquez les informations suivantes dans le corps de votre billet :

  • Numéro de compte de gestion

  • Numéros de compte des comptes de membres existantsAWS Configressources

  • Votre région d'origine sélectionnée pour la configuration d'AWS Control Tower

Étape 2 : Création d'un nouveau rôle IAM sur le compte membre

  1. Ouvrez leAWS CloudFormationConsole pour le compte membre.

  2. Créez une nouvelle pile à l'aide du modèle suivant

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
  3. Indiquez le nom de la pile comme dans l'exemple suivantCustomerCreatedConfigRecorderRoleForControlTower

  4. Créez la pile.

Étape 3 : Identifier leAWSRégions disposant de ressources préexistantes

Pour chaque région gouvernée (régie par la AWS Control Tower) du compte, identifiez et notez les régions qui possèdent au moins l'une desAWS Configexemples de types de ressources présentés précédemment.

Étape 4 : Identifier leAWSRégions sans aucuneAWS Configressources

Pour chaque région gouvernée (régie par la AWS Control Tower) du compte, identifiez et notez les régions dans lesquelles il n'y a pasAWS Configressources des types d'exemples présentés précédemment.

Étape 5 : Modifier les ressources existantes dans chacun d'entre euxAWSRégion

Pour cette étape, les informations suivantes sont nécessaires concernant la configuration de votre AWS Control Tower.

  • LOGGING_ACCOUNT- l'identifiant du compte de journalisation

  • AUDIT_ACCOUNT- l'identifiant du compte d'audit

  • IAM_ROLE_ARN- l'ARN du rôle IAM créé à l'étape 1

  • ORGANIZATION_ID- l'identifiant de l'organisation pour le compte de gestion

  • MEMBER_ACCOUNT_NUMBER- le compte du membre en cours de modification

  • HOME_REGION- la région d'origine pour la configuration d'AWS Control Tower.

Modifiez chaque ressource existante en suivant les instructions données dans les sections 5a à 5c qui suivent.

Étape 5a.AWS Configressources d'enregistrement

Un seulAWS Configl'enregistreur peut exister parAWSRegion. S'il en existe un, modifiez les paramètres comme indiqué. Remplacer l'élémentGLOBAL_RESOURCE_RECORDINGavecvraidans votre région d'origine. Remplacez l'article parfauxpour les autres régions où unAWS Configl'enregistreur existe.

  • Nom : NE CHANGEZ PAS

  • RoleARN : IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported :vrai

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes : Empty

Cette modification peut être effectuée par le biais duAWSCLI à l'aide de la commande suivante. Remplacez la chaîneRECORDER_NAMEavec l'existantAWS Confignom de l'enregistreur.

aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Étape 5b. ModifierAWS ConfigRessources des canaux de livraison

Un seulAWS ConfigUn canal de livraison peut exister par région. S'il en existe un autre, modifiez les paramètres comme indiqué.

  • Nom : NE CHANGEZ PAS

  • ConfigSnapshotDeliveryProperties : TwentyFour_Heures

  • S3BucketName : Le nom du compartiment de journalisation provenant du compte de journalisation AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix :ORGANIZATION_ID

  • SnsTopicARN :La rubrique SNS ARN du compte d'audit, avec le format suivant :

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Cette modification peut être effectuée par le biais duAWSCLI à l'aide de la commande suivante. Remplacez la chaîneDELIVERY_CHANNEL_NAMEavec l'existantAWS Confignom de l'enregistreur.

aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME, s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION, s3KeyPrefix="ORGANIZATION_ID", configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours}, snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Étape 5c. ModifierAWS ConfigRessources d'autorisation d'agrég

Plusieurs autorisations d'agrégation peuvent exister par région. La AWS Control Tower nécessite une autorisation d'agrégation qui indique que le compte d'audit est le compte autorisé et que la région d'origine de la AWS Control Tower est la région autorisée. S'il n'existe pas, créez-en un autre avec les paramètres suivants :

  • AuthorizedAccountId :L'identifiant du compte d'audit

  • AuthorizedAwsRegion : La région d'origine pour la configuration de la AWS Control Tower

Cette modification peut être effectuée par le biais duAWSUtilisez la commande suivante :

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Étape 6 : Créez des ressources là où elles n'existent pas, dans les régions régies par AWS Control Tower

Réviser leAWS CloudFormationmodèle, de sorte que dans votre région d'origine,IncludeGlobalResourcesTypesle paramètre a la valeurGLOBAL_RESOURCE_RECORDINGcomme illustré dans l'exemple ci-dessous. Mettez également à jour les champs obligatoires du modèle, comme indiqué dans cette section.

  1. Accédez au compte de gestionAWS CloudFormationConsole.

  2. Créez un nouveau StackSet avec le nomCustomerCreatedConfigResourcesForControlTower.

  3. Copiez et mettez à jour le modèle suivant :

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION S3KeyPrefix: ORGANIZATION_ID SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId: AUDIT_ACCOUNT AuthorizedAwsRegion: HOME_REGION

    Mettez à jour le modèle avec les champs obligatoires :

    1. Dans leS3BucketNamechamp, remplacez leLOGGING_ACCOUNT_IDetHOME_REGION

    2. Dans leS3KeyPrefixchamp, remplacez leORGANIZATION_ID

    3. Dans leSnsTopicARNchamp, remplacez leAUDIT_ACCOUNT

    4. Dans leAuthorizedAccountIdchamp, remplacez leAUDIT_ACCOUNT

    5. Dans leAuthorizedAwsRegionchamp, remplacez leHOME_REGION

  4. Lors du déploiement sur leAWS CloudFormationconsole, ajoutez le numéro de compte du membre.

  5. Addition duAWSRégions identifiées à l'étape 4.

  6. Déployez le jeu de piles.

Étape 7 : Enregistrez l'unité d'organisation auprès d'AWS Control Tower

Dans le tableau de bord d'AWS Control Tower, enregistrez l'unité d'organisation.

Note

Dans laCréer un comptele flux de travail ne réussira pas pour cette tâche. Tu dois choisirVous inscrireouRéenregistrer une UO.