Inscrire des comptes disposant de ressources existantes AWS Config - AWS Control Tower
Étape 1 : contactez le service client avec un ticket, pour ajouter le compte à la liste d'autorisation de AWS Control TowerÉtape 2 : créer un nouveau IAM rôle dans le compte membre Étape 3 : Identifier les AWS régions disposant de ressources préexistantes Étape 4 : Identifier les AWS régions dépourvues de AWS Config ressourcesÉtape 5 : Modifier les ressources existantes dans chaque AWS régionÉtape 5a. AWS Config ressources pour les enregistreursÉtape 5b. Modifier les ressources du canal de AWS Config distribution Étape 5c. Modifier les ressources AWS Config d'autorisation d'agrégationÉtape 6 : Créez des ressources là où elles n'existent pas, dans les régions régies par AWS Control Tower Étape 7 : Enregistrez l'unité d'organisation auprès AWS de Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inscrire des comptes disposant de ressources existantes AWS Config

Cette rubrique explique step-by-step comment inscrire des comptes dotés de AWS Config ressources existantes. Pour obtenir des exemples de vérification de vos ressources existantes, consultezExemples de AWS Config CLI commandes pour l'état des ressources.

Note

Si vous envisagez d'intégrer AWS des comptes existants dans AWS Control Tower sous forme de comptes d'audit et d'archivage des journaux, et si ces comptes disposent de AWS Config ressources existantes, vous devez supprimer complètement les AWS Config ressources existantes avant de pouvoir les inscrire dans AWS Control Tower à cette fin. Pour les comptes qui ne sont pas destinés à devenir des comptes d'archivage d'audit et de journal, vous pouvez modifier les ressources Config existantes.

Exemples de AWS Config ressources

Voici quelques types de AWS Config ressources que votre compte pourrait déjà avoir. Ces ressources devront peut-être être modifiées afin que vous puissiez enregistrer votre compte dans AWS Control Tower.

  • AWS Config enregistreur

  • AWS Config canal de livraison

  • AWS Config autorisation d'agrégation

Hypothèses

  • Vous avez déployé une zone d'atterrissage AWS de la Control Tower

  • Votre compte n'est pas encore inscrit auprès AWS de Control Tower.

  • Votre compte possède au moins une AWS Config ressource préexistante dans au moins l'une des régions de la AWS Control Tower régies par le compte de gestion.

  • Votre compte n'est pas le compte de gestion de AWS Control Tower.

  • Votre compte n'est pas en situation de dérive en matière de gouvernance.

Pour un blog qui décrit une approche automatisée pour inscrire des comptes avec des AWS Config ressources existantes, voir Automatiser l'inscription de comptes avec des AWS Config ressources existantes dans AWS Control Tower. Vous pourrez soumettre un seul ticket d'assistance pour tous les comptes que vous souhaitez inscrire, comme décrit dans Étape 1 : contactez le service client avec un ticket, pour ajouter le compte à la liste d'autorisation de AWS Control Tower ce qui suit.

Limites

  • Le compte ne peut être inscrit qu'en utilisant le flux de travail AWS Control Tower pour étendre la gouvernance.

  • Si les ressources sont modifiées et créent une dérive sur le compte, AWS Control Tower ne les met pas à jour.

  • AWS Config les ressources des régions qui ne sont pas régies par AWS Control Tower ne sont pas modifiées.

Note

Si vous essayez d'inscrire un compte qui possède des ressources Config existantes, sans que le compte soit ajouté à la liste d'autorisation, l'inscription échouera. Par la suite, si vous essayez par la suite d'ajouter ce même compte à la liste d'autorisation, AWS Control Tower ne pourra pas vérifier que le compte est correctement approvisionné. Vous devez déprovisionner le compte auprès de AWS Control Tower avant de pouvoir demander la liste d'autorisations puis l'inscrire. Si vous déplacez le compte uniquement vers une autre unité d'AWSorganisation Control Tower, cela entraîne une dérive de la gouvernance, ce qui empêche également l'ajout du compte à la liste des autorisations.

Ce processus comporte 5 étapes principales.

  1. Ajoutez le compte à la liste d'autorisation de AWS Control Tower.

  2. Créez un nouveau IAM rôle dans le compte.

  3. Modifiez les AWS Config ressources préexistantes.

  4. Créez AWS Config des ressources dans AWS des régions où elles n'existent pas.

  5. Enregistrez le compte auprès de AWS Control Tower.

Avant de poursuivre, tenez compte des attentes suivantes concernant ce processus.

  • AWSControl Tower ne crée aucune AWS Config ressource sur ce compte.

  • Après l'inscription, les commandes de la AWS Control Tower protègent automatiquement les AWS Config ressources que vous avez créées, y compris le nouveau IAM rôle.

  • Si des modifications sont apportées aux AWS Config ressources après l'inscription, celles-ci doivent être mises à jour pour s'aligner sur les paramètres de AWS Control Tower avant de pouvoir réinscrire le compte.

Étape 1 : contactez le service client avec un ticket, pour ajouter le compte à la liste d'autorisation de AWS Control Tower

Incluez cette phrase dans l'objet de votre billet :

Inscrire des comptes disposant de AWS Config ressources existantes dans AWS Control Tower

Incluez les informations suivantes dans le corps de votre billet :

  • Numéro de compte de gestion

  • Numéros de compte des comptes membres disposant de AWS Config ressources existantes

  • La région d'origine que vous avez sélectionnée pour la configuration AWS de Control Tower

Note

Le délai requis pour ajouter votre compte à la liste d'autorisation est de 2 jours ouvrables.

Étape 2 : créer un nouveau IAM rôle dans le compte membre

  1. Ouvrez la AWS CloudFormation console du compte membre.

  2. Créez une nouvelle pile à l'aide du modèle suivant

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Entrez le nom de la pile sous la forme CustomerCreatedConfigRecorderRoleForControlTower

  4. Créez la pile.

Note

Tout SCPs ce que vous créez doit exclure un aws-controltower-ConfigRecorderRole* rôle. Ne modifiez pas les autorisations qui limitent la capacité des AWS Config règles à effectuer des évaluations.

Suivez ces directives afin de ne pas recevoir d'avertissement AccessDeniedException lorsque vous êtes SCPs bloqué pour appeler Config. aws-controltower-ConfigRecorderRole*

Étape 3 : Identifier les AWS régions disposant de ressources préexistantes

Pour chaque région gouvernée (régie par la AWS Control Tower) du compte, identifiez et notez les régions qui possèdent au moins l'un des types de AWS Config ressources existants présentés précédemment.

Étape 4 : Identifier les AWS régions dépourvues de AWS Config ressources

Pour chaque région gouvernée (régie par la AWS Control Tower) dans le compte, identifiez et notez les régions dans lesquelles il n'existe aucune AWS Config ressource du type indiqué dans les exemples présentés précédemment.

Étape 5 : Modifier les ressources existantes dans chaque AWS région

Pour cette étape, les informations suivantes sont nécessaires concernant la configuration AWS de votre Control Tower.

  • LOGGING_ACCOUNT- l'identifiant du compte de journalisation

  • AUDIT_ACCOUNT- l'identifiant du compte d'audit

  • IAM_ROLE_ARN- le IAM rôle ARN créé à l'étape 1

  • ORGANIZATION_ID- l'identifiant de l'organisation pour le compte de gestion

  • MEMBER_ACCOUNT_NUMBER- le compte membre en cours de modification

  • HOME_REGION- la région d'origine pour la configuration AWS de la Control Tower.

Modifiez chaque ressource existante en suivant les instructions données dans les sections 5a à 5c, qui suivent.

Étape 5a. AWS Config ressources pour les enregistreurs

Il ne peut y avoir qu'un seul AWS Config enregistreur par AWS région. S'il en existe un, modifiez les paramètres comme indiqué. Remplacez l'article GLOBAL_RESOURCE_RECORDING par true dans votre région d'origine. Remplacez l'élément par false pour les autres régions où un AWS Config enregistreur existe.

  • Nom : DON 'T CHANGE

  • Rôle ARN : IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: vrai

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vide

Cette modification peut être effectuée à l' AWS CLIaide de la commande suivante. Remplacez la chaîne RECORDER_NAME par le nom de l' AWS Config enregistreur existant.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Étape 5b. Modifier les ressources du canal de AWS Config distribution

Il ne peut exister qu'un seul canal de AWS Config distribution par région. S'il en existe un autre, modifiez les paramètres comme indiqué.

  • Nom : DON 'T CHANGE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Heures

  • S3 BucketName : nom du compartiment de journalisation indiqué dans le compte de journalisation de AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3 KeyPrefix : ORGANIZATION_ID

  • SnsTopicARN: Le SNS sujet ARN du compte d'audit, au format suivant :

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Cette modification peut être effectuée à l' AWS CLIaide de la commande suivante. Remplacez la chaîne DELIVERY_CHANNEL_NAME par le nom de l' AWS Config enregistreur existant.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Étape 5c. Modifier les ressources AWS Config d'autorisation d'agrégation

Plusieurs autorisations d'agrégation peuvent exister par région. AWS Control Tower a besoin d'une autorisation d'agrégation qui spécifie le compte d'audit comme compte autorisé, et dont la région d'origine de AWS Control Tower est la région autorisée. S'il n'existe pas, créez-en un nouveau avec les paramètres suivants :

  • AuthorizedAccountId: ID du compte d'audit

  • AuthorizedAwsRegion: La région d'origine pour la configuration AWS de la Control Tower

Cette modification peut être effectuée à l' AWS CLIaide de la commande suivante :

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Étape 6 : Créez des ressources là où elles n'existent pas, dans les régions régies par AWS Control Tower

Révisez le AWS CloudFormation modèle de manière à ce que le IncludeGlobalResourcesTypesparamètre ait la valeur voulue dans votre région d'origineGLOBAL_RESOURCE_RECORDING, comme indiqué dans l'exemple suivant. Mettez également à jour les champs obligatoires dans le modèle, comme indiqué dans cette section.

Remplacez l'article GLOBAL_RESOURCE_RECORDING par true dans votre région d'origine. Remplacez l'élément par false pour les autres régions où un AWS Config enregistreur existe.

  1. Accédez à la AWS CloudFormation console du compte de gestion.

  2. Créez-en un nouveau StackSet avec ce nom CustomerCreatedConfigResourcesForControlTower.

  3. Copiez et mettez à jour le modèle suivant :

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Mettez à jour le modèle avec les champs obligatoires :

    1. Dans le BucketName champ S3, remplacez le LOGGING_ACCOUNT_ID et HOME_REGION

    2. Dans le KeyPrefix champ S3, remplacez ORGANIZATION_ID

    3. Dans le SnsTopicARNchamp, remplacez AUDIT_ACCOUNT

    4. Dans le AuthorizedAccountIdchamp, remplacez AUDIT_ACCOUNT

    5. Dans le AuthorizedAwsRegionchamp, remplacez HOME_REGION

  4. Lors du déploiement sur la AWS CloudFormation console, ajoutez le numéro de compte du membre.

  5. Ajoutez les AWS régions identifiées à l'étape 4.

  6. Déployez le stack set.

Étape 7 : Enregistrez l'unité d'organisation auprès AWS de Control Tower

Dans le tableau de bord de AWS Control Tower, enregistrez l'unité d'organisation.

Note

Le flux de travail d'inscription du compte échouera pour cette tâche. Vous devez choisir Enregistrer l'unité d'organisation ou Réenregistrer l'unité d'organisation.