기존 계정이 있는 계정 등록AWS Config자원 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 계정이 있는 계정 등록AWS Config자원

이 주제에서는 step-by-step 기존 계정을 등록하는 방법에 대한 접근 방식AWS Config있습니다.

예제입니다.AWS Config자원

다음은 몇 가지 유형입니다.AWS Config계정에 이미 보유할 수 있는 리소스입니다. AWS Control Tower 에 계정을 등록할 수 있도록 이러한 리소스를 수정해야 할 수 있습니다.

  • AWS Config리코더

  • AWS Config전송 채널

  • AWS Config집계 권한 부여

가정

  • 계정이 이미 AWS Control Tower 타워에 등록되어 있지 않습니다.

  • 계정에 하나 이상의 기존 계정이 있습니다.AWS Config관리 계정이 관리하는 AWS Control Tower 리전 중 하나 이상에 있는 리소스입니다.

기존 계정에 계정을 등록하는 자동화된 접근 방식을 설명하는 블로그의 경우AWS Config리소스, 를 참조하십시오.기존 계정을 사용하여 계정 등록 자동화AWS ConfigAWS Control Tower. 에 설명된 대로 등록하려는 모든 계정에 대해 단일 지원 티켓을 제출할 수 있습니다.1단계: 티켓을 사용하여 고객 지원팀에 연락하여 AWS Control Tower 허용 목록에 계정을 추가하십시오.다음은 다음과 같습니다.

제한 사항

  • 계정은 거버넌스 확장을 위해 AWS Control Tower 워크플로를 사용해야만 등록할 수 있습니다.

  • 리소스가 수정되고 계정에서 드리프트를 생성하는 경우 AWS Control Tower 는 리소스를 업데이트하지 않습니다.

  • AWS ConfigAWS Control Tower 가 관리하지 않는 리전의 리소스는 변경되지 않습니다.

이 프로세스에는 5가지 주요 단계가 있습니다.

  1. AWS Control Tower 허용 목록에 계정을 추가합니다.

  2. 계정에 새 IAM 역할을 생성합니다.

  3. 기존 항목 수정AWS Config있습니다.

  4. 생성AWS Config리소스AWS존재하지 않는 지역입니다.

  5. AWS Control Tower에 계정을 등록합니다.

계속하기 전에 이 프로세스와 관련하여 다음과 같은 기대치를 고려하십시오.

  • AWS Control Tower Tower는 생성하지 않습니다AWS Config이 계정의 리소스.

  • 등록 후 AWS Control Tower 가드레일이 자동으로AWS Config새 IAM 역할을 포함하여 생성한 리소스입니다.

  • 변경 사항이 있는 경우AWS Config리소스는 등록 후 AWS Control Tower 설정에 맞게 업데이트해야 계정을 다시 등록할 수 있습니다.

1단계: 티켓을 사용하여 고객 지원팀에 연락하여 AWS Control Tower 허용 목록에 계정을 추가하십시오.

티켓 제목줄에 다음 문구를 포함시키십시오.

기존 계정이 있는 계정 등록AWS ConfigAWS Control Tower

티켓 본문에 다음 세부 정보를 포함하십시오.

  • 관리 계정 번호

  • 기존 멤버 계정의 계정 번호AWS Config자원

  • AWS Control Tower 설정을 위해 선택한 홈 리전

2단계: 구성원 계정에 새 IAM 역할 생성

  1. 열기AWS CloudFormation구성원 계정을 위한 콘솔입니다.

  2. 다음 템플릿을 사용하여 새 스택 생성

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWSConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess
  3. 스택의 이름을 다음과 같이 입력합니다.고객생성구성레코더롤컨트롤 타워

  4. 스택을 생성합니다.

3단계: 를 확인합니다.AWS기존 리소스가 있는 리전

계정에서 관리되는 각 리전 (AWS Control Tower 관리) 에 대해 기존 리전이 하나 이상 있는 리전을 식별하고 기록해 둡니다.AWS Config이전에 표시된 리소스 예제 유형입니다.

4단계: 를 확인합니다.AWS아무 것도 없는 리전AWS Config자원

계정에서 관리되는 각 리전 (AWS Control Tower 관리) 에 대해 해당 리전이 없는 리전을 식별하고 기록해 둡니다.AWS Config이전에 표시된 예제 유형의 리소스입니다.

5단계: 각 리소스의 기존 리소스 수정AWS리전

이 단계에서는 AWS Control Tower 설정에 대한 다음 정보가 필요합니다.

  • LOGGING_ACCOUNT- 로깅 계정 ID

  • AUDIT_ACCOUNT- 감사 계정 ID

  • IAM_ROLE_ARN- 1단계에서 생성한 IAM 역할 ARN

  • ORGANIZATION_ID- 관리 계정의 조직 ID

  • MEMBER_ACCOUNT_NUMBER- 수정 중인 회원 계정

  • HOME_REGION- AWS Control Tower 설정의 홈 리전

5a ~ 5c 절에 나와 있는 지침에 따라 각 기존 리소스를 수정합니다.

5a 단계.AWS Config리코더 리소스

단 하나만AWS Config레코더가 존재할 수 있음AWS리전. 다른 항목이 있는 경우 그림과 같이 설정을 수정합니다.

  • 이름: 변하지 마라.

  • RoleARN: IAM_ROLE_ARN

    • 레코딩 그룹:

    • AllSupported참된

    • 포함 전역리소스 유형:참된

    • ResourceTypes: 비어 있음

이 수정은 다음을 통해 수행 할 수 있습니다.AWS다음 명령을 사용하는 CLI입니다. 문자열 대체를 수행합니다.RECORDER_NAME기존 와AWS Config레코더 이름

aws configservice put-configuration-recorder —configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created —recording-group allSupported=true,includeGlobalResourceTypes=true --region CURRENT_REGION

5b 단계. 수정AWS Config전송 채널 리소스

단 하나만AWS Config전송 채널은 리전별로 존재할 수 있습니다. 다른 항목이 있는 경우 그림과 같이 설정을 수정합니다.

  • 이름: 변하지 마라.

  • ConfigSnapshotDeliveryProperties: 20시간

  • S3BucketName: AWS Control Tower 로깅 계정의 로깅 버킷 이름

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3KeyPrefix:ORGANIZATION_ID

  • SnsTopicArn:감사 계정의 SNS 주제 ARN은 다음과 같은 형식을 사용합니다.

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

이 수정은 다음을 통해 수행 할 수 있습니다.AWS다음 명령을 사용하는 CLI입니다. 문자열 대체를 수행합니다.DELIVERY_CHANNEL_NAME기존 와AWS Config레코더 이름

aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME, s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-ap-northeast-2, s3KeyPrefix="ORGANIZATION_ID", configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours}, snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

5c 단계 수정AWS Config집계 권한 부여 리소스

리전별로 여러 집계 인증이 존재할 수 있습니다. AWS Control Tower에는 감사 계정을 승인된 계정으로 지정하고 AWS Control Tower 홈 리전을 승인된 리전으로 지정하는 집계 승인이 필요합니다. 존재하지 않으면 다음 설정을 사용하여 새 설정을 생성합니다.

  • AuthorizedAccountId:감사 계정 ID

  • AuthorizedAwsRegion AWS Control Tower 설정을 위한 홈 리전

이 수정은 다음을 통해 수행 할 수 있습니다.AWS다음 명령을 사용하여 CLI를 실행합니다.

aws configservice put-aggregation-authorization —authorized-account-id AUDIT_ACCOUNT_ID —authorized-aws-region HOME_REGION —region CURRENT_REGION

6단계: AWS Control Tower 가 관리하는 리전에 존재하지 않는 곳에 리소스를 생성합니다.

  1. 관리 계정으로 이동합니다.AWS CloudFormation콘솔.

  2. 새 생성 StackSet 이름을 사용하여CustomerCreatedConfigResourcesForControlTower.

  3. 다음 템플릿을 복사하고 업데이트합니다.

    AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes: true ResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION S3KeyPrefix: ORGANIZATION_ID SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId: AUDIT_ACCOUNT AuthorizedAwsRegion: HOME_REGION

    필수 필드로 템플릿을 업데이트합니다.

    1. 에서S3BucketName필드, 바꾸기로깅_계정_ID홈_지역

    2. 에서S3KeyPrefix필드, 바꾸기ORGANIZATION_ID

    3. 에서SnsTopicARN필드, 바꾸기감사_계정

    4. 에서AuthorizedAccountId필드, 바꾸기감사_계정

    5. 에서AuthorizedAwsRegion필드, 바꾸기홈_지역

  4. 에 배포하는 동안AWS CloudFormation콘솔에서 구성원 계정 번호를 추가합니다.

  5. 를 추가합니다.AWS4단계에서 식별된 리전.

  6. 스택 세트를 배포합니다.

단계 7: AWS Control Tower 타워에 OU 등록

AWS Control Tower 대시보드에서 OU를 등록합니다.

참고

계정 등록워크플로는 이 작업에 성공하지 못합니다. 반드시 선택해야 합니다.OU 등록또는OU 재등록.