Inscrire des comptes disposant de ressources existantes AWS Config - AWS Control Tower
Étape 1 : contactez le support client avec un ticket, pour ajouter le compte à la liste d'autorisation d'AWS Control TowerÉtape 2 : créer un nouveau rôle IAM dans le compte membre Étape 3 : Identifier les AWS régions disposant de ressources préexistantes Étape 4 : Identifier les AWS régions dépourvues de AWS Config ressourcesÉtape 5 : Modifier les ressources existantes dans chaque AWS régionÉtape 5a. AWS Config ressources pour les enregistreursÉtape 5b. Modifier les ressources du canal de AWS Config distribution Étape 5c. Modifier les ressources AWS Config d'autorisation d'agrégationÉtape 6 : créer des ressources là où elles n'existent pas, dans les régions régies par AWS Control Tower Étape 7 : enregistrer l'unité d'organisation auprès d'AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inscrire des comptes disposant de ressources existantes AWS Config

Cette rubrique explique step-by-step comment inscrire des comptes dotés de AWS Config ressources existantes. Pour obtenir des exemples de vérification de vos ressources existantes, consultezExemples de commandes AWS Config CLI pour l'état des ressources.

Note

Si vous envisagez d'intégrer AWS des comptes existants dans AWS Control Tower en tant que comptes d'audit et d'archivage de journaux, et si ces comptes disposent de AWS Config ressources existantes, vous devez supprimer complètement les AWS Config ressources existantes avant de pouvoir inscrire ces comptes dans AWS Control Tower à cette fin. Pour les comptes qui ne sont pas destinés à devenir des comptes d'archive d'audit et de journal, vous pouvez modifier les ressources Config existantes.

Exemples de AWS Config ressources

Voici quelques types de AWS Config ressources que votre compte pourrait déjà avoir. Ces ressources devront peut-être être modifiées afin que vous puissiez inscrire votre compte dans AWS Control Tower.

  • AWS Config enregistreur

  • AWS Config canal de livraison

  • AWS Config autorisation d'agrégation

Hypothèses

  • Vous avez déployé une zone de landing zone AWS Control Tower

  • Votre compte n'est pas encore inscrit à AWS Control Tower.

  • Votre compte possède au moins une AWS Config ressource préexistante dans au moins l'une des régions AWS Control Tower régies par le compte de gestion.

  • Votre compte n'est pas le compte de gestion d'AWS Control Tower.

  • Votre compte n'est pas en situation de dérive en matière de gouvernance.

Pour consulter un blog qui décrit une approche automatisée pour inscrire des comptes avec des AWS Config ressources existantes, consultez Automatiser l'inscription de comptes avec des AWS Config ressources existantes dans AWS Control Tower. Vous pourrez soumettre un seul ticket d'assistance pour tous les comptes que vous souhaitez inscrire, comme décrit dans Étape 1 : contactez le support client avec un ticket, pour ajouter le compte à la liste d'autorisation d'AWS Control Tower ce qui suit.

Limites

  • Le compte ne peut être inscrit qu'en utilisant le flux de travail AWS Control Tower pour étendre la gouvernance.

  • Si les ressources sont modifiées et créent une dérive sur le compte, AWS Control Tower ne les met pas à jour.

  • AWS Config les ressources des régions qui ne sont pas régies par AWS Control Tower ne sont pas modifiées.

Note

Si vous essayez d'inscrire un compte qui possède des ressources Config existantes, sans que le compte soit ajouté à la liste d'autorisation, l'inscription échouera. Par la suite, si vous essayez par la suite d'ajouter ce même compte à la liste d'autorisation, AWS Control Tower ne pourra pas vérifier que le compte est correctement configuré. Vous devez déprovisionner le compte auprès d'AWS Control Tower avant de pouvoir demander la liste d'autorisations, puis l'inscrire. Si vous déplacez le compte uniquement vers une autre unité d'organisation AWS Control Tower, cela entraîne une dérive de la gouvernance, ce qui empêche également l'ajout du compte à la liste des autorisations.

Ce processus comporte 5 étapes principales.

  1. Ajoutez le compte à la liste d'autorisation d'AWS Control Tower.

  2. Créez un nouveau rôle IAM dans le compte.

  3. Modifiez les AWS Config ressources préexistantes.

  4. Créez AWS Config des ressources dans AWS des régions où elles n'existent pas.

  5. Enregistrez le compte auprès d'AWS Control Tower.

Avant de poursuivre, tenez compte des attentes suivantes concernant ce processus.

  • AWS Control Tower ne crée aucune AWS Config ressource sur ce compte.

  • Après l'inscription, les contrôles d'AWS Control Tower protègent automatiquement les AWS Config ressources que vous avez créées, y compris le nouveau rôle IAM.

  • Si des modifications sont apportées aux AWS Config ressources après l'inscription, celles-ci doivent être mises à jour pour s'aligner sur les paramètres d'AWS Control Tower avant de pouvoir réinscrire le compte.

Étape 1 : contactez le support client avec un ticket, pour ajouter le compte à la liste d'autorisation d'AWS Control Tower

Incluez cette phrase dans l'objet de votre billet :

Inscrire des comptes disposant de AWS Config ressources existantes dans AWS Control Tower

Incluez les informations suivantes dans le corps de votre billet :

  • Numéro de compte de gestion

  • Numéros de compte des comptes membres disposant de AWS Config ressources existantes

  • La région d'origine que vous avez sélectionnée pour la configuration d'AWS Control Tower

Note

Le délai requis pour ajouter votre compte à la liste d'autorisation est de 2 jours ouvrables.

Étape 2 : créer un nouveau rôle IAM dans le compte membre

  1. Ouvrez la AWS CloudFormation console du compte membre.

  2. Créez une nouvelle pile à l'aide du modèle suivant

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Entrez le nom de la pile en tant que CustomerCreatedConfigRecorderRoleForControltour

  4. Créez la pile.

Note

Tout SCP que vous créez doit exclure un aws-controltower-ConfigRecorderRole* rôle. Ne modifiez pas les autorisations qui limitent la capacité des AWS Config règles à effectuer des évaluations.

Suivez ces directives afin de ne pas recevoir de message AccessDeniedException lorsque vous avez des SCP qui vous empêchent aws-controltower-ConfigRecorderRole* d'appeler Config.

Étape 3 : Identifier les AWS régions disposant de ressources préexistantes

Pour chaque région gouvernée (régie par AWS Control Tower) du compte, identifiez et notez les régions qui possèdent au moins l'un des types de AWS Config ressources existants présentés précédemment.

Étape 4 : Identifier les AWS régions dépourvues de AWS Config ressources

Pour chaque région gouvernée (régie par AWS Control Tower) dans le compte, identifiez et notez les régions dans lesquelles il n'existe aucune AWS Config ressource du type illustré précédemment.

Étape 5 : Modifier les ressources existantes dans chaque AWS région

Pour cette étape, les informations suivantes sont nécessaires concernant la configuration de votre AWS Control Tower.

  • LOGGING_ACCOUNT- l'identifiant du compte de journalisation

  • AUDIT_ACCOUNT- l'identifiant du compte d'audit

  • IAM_ROLE_ARN- l'ARN du rôle IAM créé à l'étape 1

  • ORGANIZATION_ID- l'identifiant de l'organisation pour le compte de gestion

  • MEMBER_ACCOUNT_NUMBER- le compte membre en cours de modification

  • HOME_REGION- la région d'origine pour la configuration d'AWS Control Tower.

Modifiez chaque ressource existante en suivant les instructions données dans les sections 5a à 5c, qui suivent.

Étape 5a. AWS Config ressources pour les enregistreurs

Il ne peut y avoir qu'un seul AWS Config enregistreur par AWS région. S'il en existe un, modifiez les paramètres comme indiqué. Remplacez l'article GLOBAL_RESOURCE_RECORDING par true dans votre région d'origine. Remplacez l'élément par false pour les autres régions où un AWS Config enregistreur existe.

  • Nom : DON'T CHANGE

  • ROLearn : IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: vrai

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vide

Cette modification peut être effectuée via la AWS CLI à l'aide de la commande suivante. Remplacez la chaîne RECORDER_NAME par le nom de l' AWS Config enregistreur existant.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Étape 5b. Modifier les ressources du canal de AWS Config distribution

Il ne peut exister qu'un seul canal de AWS Config distribution par région. S'il en existe un autre, modifiez les paramètres comme indiqué.

  • Nom : DON'T CHANGE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Heures

  • S3 BucketName : nom du compartiment de journalisation indiqué dans le compte de journalisation AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3 KeyPrefix : IDENTIFIANT DE L'ORGANISATION

  • SnsTopicARN : l'ARN de la rubrique SNS issu du compte d'audit, au format suivant :

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Cette modification peut être effectuée via la AWS CLI à l'aide de la commande suivante. Remplacez la chaîne DELIVERY_CHANNEL_NAME par le nom de l' AWS Config enregistreur existant.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Étape 5c. Modifier les ressources AWS Config d'autorisation d'agrégation

Plusieurs autorisations d'agrégation peuvent exister par région. AWS Control Tower nécessite une autorisation d'agrégation qui indique que le compte d'audit est le compte autorisé, et que la région d'origine d'AWS Control Tower est la région autorisée. S'il n'existe pas, créez-en un nouveau avec les paramètres suivants :

  • AuthorizedAccountId: ID du compte d'audit

  • AuthorizedAwsRegion: région d'origine pour la configuration d'AWS Control Tower

Cette modification peut être effectuée via la AWS CLI à l'aide de la commande suivante :

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Étape 6 : créer des ressources là où elles n'existent pas, dans les régions régies par AWS Control Tower

Révisez le AWS CloudFormation modèle de manière à ce que le IncludeGlobalResourcesTypesparamètre ait la valeur voulue dans votre région d'origineGLOBAL_RESOURCE_RECORDING, comme indiqué dans l'exemple suivant. Mettez également à jour les champs obligatoires dans le modèle, comme indiqué dans cette section.

Remplacez l'article GLOBAL_RESOURCE_RECORDING par true dans votre région d'origine. Remplacez l'élément par false pour les autres régions où un AWS Config enregistreur existe.

  1. Accédez à la AWS CloudFormation console du compte de gestion.

  2. Créez-en un nouveau StackSet avec ce nom CustomerCreatedConfigResourcesForControlTower.

  3. Copiez et mettez à jour le modèle suivant :

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Mettez à jour le modèle avec les champs obligatoires :

    1. Dans le BucketName champ S3, remplacez LOGGING_ACCOUNT_ID et HOME_REGION

    2. Dans le KeyPrefix champ S3, remplacez le ORGANIZATION_ID

    3. Dans le champ SnsTopicARN, remplacez le AUDIT_ACCOUNT

    4. Dans le AuthorizedAccountIdchamp, remplacez le AUDIT_ACCOUNT

    5. Dans le AuthorizedAwsRegionchamp, remplacez le HOME_REGION

  4. Lors du déploiement sur la AWS CloudFormation console, ajoutez le numéro de compte du membre.

  5. Ajoutez les AWS régions identifiées à l'étape 4.

  6. Déployez le stack set.

Étape 7 : enregistrer l'unité d'organisation auprès d'AWS Control Tower

Dans le tableau de bord AWS Control Tower, enregistrez l'unité d'organisation.

Note

Le flux de travail d'inscription du compte échouera pour cette tâche. Vous devez choisir Enregistrer l'unité d'organisation ou Réenregistrer l'unité d'organisation.