Inscrever um existente Conta da AWS - AWS Control Tower
O que acontece durante a inscrição na contaRegistrando contas existentes com VPCsE se a conta não atender aos pré-requisitos?Exemplo de comandos AWS Config CLI para status de recursosInscrição automatizada de contas AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inscrever um existente Conta da AWS

Você pode estender a governança da AWS Control Tower para um indivíduo, existente Conta da AWS quando você o inscreve em uma unidade organizacional (OU) que já é governada pela AWS Control Tower. Existem contas elegíveis em OUs não registradas que fazem parte da mesma AWS Organizations organização da OU do AWS Control Tower.

nota

Você não pode inscrever uma conta existente para servir como sua conta de auditoria ou arquivamento de registros, exceto durante a configuração inicial do landing zone.

Configure primeiro o acesso confiável

Antes de inscrever um existente Conta da AWS no AWS Control Tower, você deve dar permissão para que o AWS Control Tower gerencie ou controle a conta. Especificamente, o AWS Control Tower exige permissão para estabelecer um acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que AWS CloudFormation você possa implantar sua pilha automaticamente nas contas da organização selecionada. Com esse acesso confiável, a AWSControlTowerExecution função realiza as atividades necessárias para gerenciar cada conta. É por isso que você deve adicionar essa função a cada conta antes de inscrevê-la.

Quando o acesso confiável está ativado, AWS CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e Regiões da AWS com uma única operação. O AWS Control Tower depende dessa capacidade de confiança para poder aplicar funções e permissões às contas existentes antes de transferi-las para uma unidade organizacional registrada e, assim, colocá-las sob governança.

Para saber mais sobre acesso confiável e AWS CloudFormationStackSets, consulteAWS CloudFormationStackSetsAWS Organizationse.

O que acontece durante a inscrição na conta

Durante o processo de inscrição, o AWS Control Tower executa as seguintes ações:

  • Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.

  • Identifica a conta por meio de AWS IAM Identity Center ou AWS Organizations.

  • Coloca a conta na UO especificada. Certifique-se de aplicar todas as SCPs aplicadas na UO atual, para que sua postura de segurança permaneça consistente.

  • Aplica controles obrigatórios à conta por meio dos SCPs que se aplicam à OU selecionada como um todo.

  • Ativa AWS Config e configura para registrar todos os recursos na conta.

  • Adiciona as AWS Config regras que aplicam os controles de detetive do AWS Control Tower à conta.

Trilhas em nível de contas e organização CloudTrail

Todas as contas de membros em uma OU são regidas pela AWS CloudTrail trilha da OU, inscritas ou não:

  • Quando você inscreve uma conta no AWS Control Tower, sua conta é governada pela AWS CloudTrail trilha da nova organização. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.

  • Se você mover uma conta para uma OU registrada, por exemplo, por meio do AWS Organizations console, e não continuar a inscrever a conta no AWS Control Tower, talvez queira remover todas as trilhas restantes no nível da conta. Se você já tiver uma implantação de uma CloudTrail trilha, você incorrerá em cobranças duplicadas. CloudTrail

Se você atualizar sua landing zone e optar por não receber trilhas em nível organizacional, ou se sua landing zone for anterior à versão 3.0, as trilhas em nível organizacional não se aplicarão às suas CloudTrail contas.

Registrando contas existentes com VPCs

O AWS Control Tower lida com VPCs de forma diferente quando você provisiona uma nova conta no Account Factory do que quando você inscreve uma conta existente.

  • Quando você cria uma nova conta, o AWS Control Tower remove automaticamente a VPC AWS padrão e cria uma nova VPC para essa conta.

  • Quando você inscreve uma conta existente, o AWS Control Tower não cria uma nova VPC para essa conta.

  • Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma VPC existente ou VPC AWS padrão associada à conta.

dica

Você pode alterar o comportamento padrão de novas contas configurando o Account Factory, para que ele não configure uma VPC por padrão para contas em sua organização sob o AWS Control Tower. Para ter mais informações, consulte Crie uma conta no AWS Control Tower sem uma VPC.

E se a conta não atender aos pré-requisitos?

Lembre-se de que, como pré-requisito, as contas qualificadas para serem inscritas na governança do AWS Control Tower devem fazer parte da mesma organização geral. Para cumprir esse pré-requisito para o registro da conta, você pode seguir estas etapas preparatórias para mover uma conta para a mesma organização do AWS Control Tower.

Etapas preparatórias para colocar uma conta na mesma organização da AWS Control Tower

  1. Retire a conta da organização existente. Você deve fornecer uma forma de pagamento separada se usar essa abordagem.

  2. Convide a conta para se juntar à organização do AWS Control Tower. Para obter mais informações, consulte Convidar uma AWS conta para participar da sua organização no Guia doAWS Organizations usuário.

  3. Aceite o convite. A conta aparece na raiz da organização. Essa etapa move a conta para a mesma organização da AWS Control Tower e estabelece SCPs e faturamento consolidado.

dica

Você pode enviar o convite para a nova organização antes que a conta saia da organização antiga. O convite estará aguardando quando a conta sair oficialmente de sua organização existente.

Etapas para cumprir os pré-requisitos restantes:

  1. Crie a AWSControlTowerExecution função necessária.

  2. Limpe a VPC padrão. (Essa parte é opcional. O AWS Control Tower não altera sua VPC padrão existente.)

  3. Exclua ou modifique qualquer gravador AWS Config de configuração ou canal de entrega existente por meio do AWS CLI ou AWS CloudShell. Para obter mais informações, consulte Exemplo de comandos AWS Config CLI para status de recursos e Inscrever contas que tenham recursos existentes AWS Config

Depois de concluir essas etapas preparatórias, você pode inscrever a conta no AWS Control Tower. Para ter mais informações, consulte Etapas para registrar uma conta. Essa etapa coloca a conta na governança completa do AWS Control Tower.

Etapas opcionais para desprovisionar uma conta, para que ela possa ser cadastrada e manter sua pilha

  1. Para manter a AWS CloudFormation pilha aplicada, exclua a instância da pilha dos conjuntos de pilhas e escolha Reter pilhas para a instância.

  2. Encerre o produto provisionado pela conta no Account Factory AWS Service Catalog . (Essa etapa remove apenas o produto provisionado do AWS Control Tower. Isso não exclui a conta.)

  3. Configure a conta com os detalhes de cobrança necessários, conforme exigido para qualquer conta que não pertença a uma organização. Em seguida, remova a conta da organização. (Você faz isso para que a conta não conte no total da sua AWS Organizations cota.)

  4. Limpe a conta se os recursos permanecerem e, em seguida, feche-a seguindo as etapas de encerramento da contaDesgerenciar uma conta.

  5. Se você tiver uma OU suspensa com controles definidos, poderá mover a conta para lá em vez de executar a Etapa 1.

Exemplo de comandos AWS Config CLI para status de recursos

Aqui estão alguns exemplos de comandos da AWS Config CLI que você pode usar para determinar o status do gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

A resposta normal é algo como "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Inscrição automatizada de contas AWS Organizations

Você pode usar o método de inscrição descrito em uma postagem de blog chamada Inscrever AWS contas existentes no AWS Control Tower para inscrever suas AWS Organizations contas no AWS Control Tower com um processo programático.

O modelo YAML a seguir pode ajudá-lo a criar a função necessária em uma conta, para que ela possa ser cadastrada programaticamente.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess