Cadastrar uma conta da AWS existente - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cadastrar uma conta da AWS existente

Você pode estender a governança da AWS Control Tower para uma conta da AWS individual existente quandoregistrarEle será uma unidade organizacional (UO) que já é governada pela AWS Control Tower (AWS Control Tower). As contas elegíveis existem emUOs não registradas que fazem parte do mesmoAWS Organizationsorganizaçãocomo a UO da AWS Control Tower.

Configurar o Acesso Confiável Primeiro

Antes de registrar uma conta da AWS existente na AWS Control Tower, é necessário dar permissão à AWS Control Tower para gerenciar ougovernar, a conta. Especificamente, a AWS Control Tower requer permissão para estabelecer acesso confiável entre o AWS CloudFormation e oAWS OrganizationsEm seu nome, para que o AWS CloudFormation possa implantar sua pilha automaticamente nas contas da organização selecionada.

Para saber mais sobre o acesso confiável e o AWS CloudFormation StackSets, consulte AWS CloudFormation StackSets e AWS Organizations. Quando o acesso confiável é habilitado, o AWS CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e regiões da AWS com uma única operação. O AWS Control Tower depende desse recurso de confiança para que possa aplicar funções e permissões a contas existentes antes de movê-las para uma unidade organizacional registrada e, assim, colocá-las sob controle.

O que acontece durante o registro da conta

Durante o processo de registro, a AWS Control Tower executa estas ações:

  • Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.

  • Identifica a conta por meio do AWS Single Sign-On ou do AWS Organizations.

  • Coloca a conta na UO especificada. Certifique-se de aplicar todas as SCPs aplicadas na UO atual, para que sua postura de segurança permaneça consistente.

  • Aplica proteções obrigatórias à conta por meio das SCPs que se aplicam à UO selecionada como um todo.

  • Adiciona as regras do AWS Config que aplicam as proteções de detetives do AWS Control Tower à conta.

nota

Quando você inscreve a conta na AWS Control Tower, sua conta é regida pela trilha do AWS CloudTrail para a nova organização. Se você tiver uma implantação existente de uma trilha do CloudTrail, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la na AWS Control Tower.

Inscrição de contas existentes em VPCs

O AWS Control Tower lida com as VPCs de forma diferente quando você provisiona uma nova conta na fábrica de contas do que quando você inscreve uma conta existente.

  • Quando você cria uma nova conta, o AWS Control Tower remove automaticamente a VPC padrão da AWS e cria uma nova VPC para essa conta.

  • Quando você registra uma conta existente, o AWS Control Tower não cria uma VPC para essa conta.

  • Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma VPC existente nem VPC padrão da AWS associada à conta.

Recomendado: É possível configurar uma abordagem em duas etapas para o registro da conta

  • Primeiro, use um AWS ConfigPacote de conformidadePara avaliar como suas contas podem ser afetadas por algumas proteções do AWS Control Tower. Para determinar como o registro na AWS Control Tower pode afetar suas contas, consulteEstenda a governança da AWS Control Tower usando pacotes de conformidade do AWS Config.

  • Depois disso, talvez você queira registrar a conta. Se os resultados de conformidade forem satisfatórios, o caminho de migração será mais fácil porque é possível registrar a conta sem consequências inesperadas.

  • Depois de fazer sua avaliação, se você decidir configurar uma landing zone da AWS Control Tower, talvez seja necessário remover o gravador de configuração e o canal de entrega do AWS Config que foram criados para sua avaliação. Depois disso, será possível configurar a AWS Control Tower com êxito.

nota

O pacote de conformidade também funciona em situações em que as contas estão localizadas em UOs registradas pela AWS Control Tower, mas as cargas de trabalho são executadas em regiões da AWS que não são compatíveis com a AWS Control Tower. É possível usar o pacote de conformidade para gerenciar recursos em contas que existem em regiões onde a AWS Control Tower não está implantada.

Pré-requisitos para registro

Esses pré-requisitos são necessários para que você possa registrar uma conta na AWS Control Tower:

  1. A conta não deve ter um gravador de configuração do AWS Config ou um canal de entrega. Eles devem ser excluídos por meio da CLI da AWS antes que seja possível registrar uma conta. Caso contrário, o registro falhará.

  2. A conta que você deseja registrar deve existir no mesmoAWS Organizationsorganização como a conta de gerenciamento do AWS Control Tower. A conta existente pode ser inscritaSomenteNa mesma organização que a conta de gerenciamento da AWS Control Tower, em uma UO que já está registrada na AWS Control Tower.

  3. Antes de registrar uma conta existente na AWS Control Tower, a conta deve ter as seguintes funções, permissões e relações de confiança em vigor. Caso contrário, o registro falhará.

    Nome da função: AWSControlTowerExecution

    Permissões de função:AdministratorAccess (política gerenciada pela AWS)

    Relação de confiança da função:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

Para verificar outros pré-requisitos para inscrição, consulteConceitos básicos do AWS Control Tower.

nota

Quando você inscreve uma conta na AWS Control Tower, sua conta é regida pela trilha do AWS CloudTrail para a organização da AWS Control Tower. Se você tiver uma implantação existente de uma trilha do CloudTrail, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la na AWS Control Tower.

Depois que a permissão AdministratorAccess estiver em vigor na sua conta existente, siga estas etapas para registar a conta:

Como registrar uma conta individual na AWS Control Tower

  • Navegue até a página Account Factory do AWS Control Tower e selecioneRegistrar conta.

  • Especifique o endereço de e-mail atual da conta existente que você gostaria de registrar na AWS Control Tower.

  • Especifique o nome e sobrenome do proprietário da conta.

  • Especifique a unidade organizacional (UO) na qual você deseja registrar a conta.

  • Escolha Enroll account (Registrar conta).

Causas comuns para falha de registro

  • Seu principal do IAM pode não ter as permissões necessárias para provisionar uma conta. Para registrar uma conta existente, a função AWSControlTowerExecution deve estar presente na conta que você está registrando.

  • O AWS Security Token Service (AWS STS) está desabilitado na conta da AWS em sua região de origem ou em qualquer região compatível com a AWS Control Tower.

  • É possível que você esteja conectado a uma conta que precisa ser adicionada ao Portfólio de fábrica de contas no AWS Service Catalog. A conta deve ser adicionada antes que você tenha acesso à Account Factory para que seja possível criar ou registrar uma conta na AWS Control Tower. Se o usuário ou função apropriada não for adicionada ao Portfólio de fábrica de contas, você receberá um erro ao tentar adicionar uma conta.

  • É possível que você esteja conectado como raiz.

  • A conta que você está tentando registrar pode ter configurações do AWS Config que são residuais. Em específico, a conta não deve ter um gravador de configuração ou um canal de entrega, portanto, eles devem ser excluídos por meio da CLI da AWS antes que seja possível registrar uma conta.

  • Se a conta pertencer a outra UO com uma conta de gerenciamento, incluindo outra OU da AWS Control Tower, você deverá encerrar a conta em sua UO atual antes que ela possa ingressar em outra UO. Os recursos existentes devem ser removidos na UO original. Caso contrário, o registro falhará.

Para obter mais informações sobre como a AWS Control Tower funciona com funções quando você está criando novas contas ou registrando contas existentes, consulteComo a AWS Control Tower funciona com funções para criar e gerenciar contas .

E se a conta não atender aos pré-requisitos?

Para atender aos pré-requisitos para registro de conta, você pode seguir estas etapas preparatórias para mover uma conta para a mesma organização que a AWS Control Tower.

Etapas preparatórias para trazer uma conta para a mesma organização que a AWS Control Tower

  1. Elimine a conta de sua organização existente. (Você deve fornecer um método de pagamento separado se usar essa abordagem.)

  2. Convide a conta para a organização da AWS Control Tower.

  3. Aceite o convite. (A conta aparece na raiz da organização.) Esta etapa move a conta para a mesma organização que a AWS Control Tower. Estabelece SCPs e faturamento consolidado.

  4. Agora você deve cumprir os pré-requisitos de inscrição restantes:

    • Crie a função necessária.

    • Limpe a VPC padrão. (Essa parte é opcional — a Torre de controle da AWS não altera sua VPC padrão existente.)

    • Exclua o gravador de configuração do AWS Config ou o canal de entrega por meio da CLI, se houver algum.

    • Quaisquer outros pré-requisitos, conforme necessário.

  5. Registrar a conta na AWS Control Tower. Esta etapa traz a conta para a governança total da AWS Control Tower.

Veja a seguir alguns exemplos de comandos da CLI do AWS Config que podem ser usados para determinar o status do gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

nota

Você pode enviar o convite para a nova organização antes que a conta saia da organização antiga. O convite estará aguardando quando a conta sair de sua organização existente.

Etapas opcionais para desprovisionar uma conta para que ela possa ser inscrita, mantendo sua pilha

  1. Opcionalmente, para manter o CFN aplicado, exclua a instância de pilha dos conjuntos de pilha, certificando-se de escolherReter pilhasPara a instância.

  2. Encerre o produto provisionado pela conta no AWS Service Catalog Account Factory. (Esta etapa remove apenas o produto provisionado da AWS Control Tower, na verdade não exclui a conta.)

  3. Opcionalmente, configure a conta com os detalhes de cobrança necessários, conforme necessário para qualquer conta que não pertença a uma organização e remova a conta da organização. Você faria isso para que a conta não contasse com o total em sua cota de AWS Organizations.

  4. Limpe a conta, se os recursos permanecerem, e feche-a, seguindo as etapas de fechamento de conta fornecidas emCancelar o gerenciamento de uma conta-membro.

  5. Se você tiver umsuspensoUO com guardrails definidos, você pode mover a conta para lá em vez de fazer a Etapa 1.

Adicione manualmente a função do IAM necessária a uma conta da AWS existente e inscreva-a

Se você já configurou sua landing zone da AWS Control Tower, poderá começar a registrar as contas da sua organização em uma UO registrada na AWS Control Tower. Se você não configurou sua landing zone, siga as etapas descritas no Guia do usuário da AWS Control Tower emIntrodução, Etapa 2. Depois que a landing zone estiver pronta, conclua as etapas a seguir para colocar as contas existentes na governança pela AWS Control Tower, manualmente.

Certifique-se de revisar os pré-requisitos observados anteriormente neste capítulo.

Antes de registrar uma conta na AWS Control Tower, você deve conceder permissão à AWS Control Tower para gerenciar essa conta. Para fazer isso, você adicionará uma função que tenha acesso total à conta, conforme mostrado nas etapas a seguir. Essas etapas devem ser executadas para cada conta na que você registra.

Para cada conta:

Etapa 1: Entre com acesso de administrador à conta de gerenciamento da organização que atualmente contém a conta que você deseja cadastrar.

Por exemplo, se você criou essa conta a partir de AWS Organizations e usar uma função do IAM entre contas para fazer login, siga estas etapas:

  1. Inicie sessão na conta de gestão da sua organização.

  2. AcesseAWS Organizations.

  3. UnderContas, selecione a conta que você quer registrar e copie o ID da conta.

  4. Abra o menu suspenso da conta na barra de navegação superior e escolhaMudar de função.

  5. NoAlternar funçãoPreencha os seguintes campos:

    • UnderConta, insira o ID da conta que você copiou.

    • UnderRole (Função), insira o nome da função do IAM que permite o acesso entre contas a essa conta. O nome dessa função foi definido quando a conta foi criada. Se você não tiver especificado um nome de função ao criar a conta, insira o nome de função padrão,OrganizationAccountAccessRole.

  6. Selecione Mudar de função.

  7. Agora você deve estar conectado ao console de gerenciamento da AWS como a conta de criança.

  8. Quando terminar, permaneça na conta de criança para a próxima parte do procedimento.

  9. Anote o ID da conta de gerenciamento, pois será necessário inseri-lo na próxima etapa.

Etapa 2: Dê permissão à AWS Control Tower para gerenciar a conta.

  1. AcesseIAM.

  2. AcesseFunções do.

  3. Selecione Create role (Criar função).

  4. Quando solicitado a selecionar para qual serviço a função se destina, selecioneEC2e escolhaPróximo: Permissões. Você alterará isso para “AWS Control Tower” mais tarde.

  5. Quando solicitado a anexar políticas, escolhaAdministratorAccess.

  6. Selecione Next: Tags (Próximo: tags).

  7. Você pode ver uma tela opcional intituladaAdicionar tags. Ignore esta tela por enquanto selecionandoPróximo: análise

  8. NoReview (Revisar), na janelaNome da função, insiraAWSControlTowerExecution.

  9. Insira uma descrição breve na caixa de diálogoDescrição, comoPermite acesso total à conta para inscrição.

  10. Selecione Create role (Criar função).

  11. Navegue até a função recém-criada. SelecioneFunções doÀ esquerda. Selecione AWSControlTowerExecution.

  12. UnderRelações de confiança, escolhaEditar relação de confiança.

  13. Copie o exemplo de código mostrado aqui e cole-o no Documento de políticas. Substitua a stringManagement Account IDcom o ID da conta de gerenciamento real da sua conta de gerenciamento. Aqui está a política para colar:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

Etapa 3: Cadastre a conta movendo-a para uma UO registrada e verifique a inscrição.

Depois de configurar as permissões necessárias criando a função, siga estas etapas para registrar a conta e verificar o registro.

  1. Faça login novamente como administrador e acesse a AWS Control Tower.

  2. Registrar a conta.

    • Na página Account Factory da AWS Control Tower, escolhaRegistrar conta. Preencha os campos obrigatórios. Use o endereço de e-mail associado à conta que você acabou de atualizar.

      • Especifique o endereço de e-mail atual da conta existente que você gostaria de registrar na AWS Control Tower.

      • Especifique o nome e sobrenome do proprietário da conta.

      • Especifique a unidade organizacional (UO) na qual você deseja registrar a conta.

    • Escolha Enroll account (Registrar conta).

  3. Verifique a inscrição.

    • Na AWS Control Tower, escolhaContas.

    • Procure a conta que você se inscreveu recentemente. Seu estado inicial mostrará um status deComo registrar o.

    • Quando o estado muda paraRegistrado, a mudança foi bem-sucedida.

Para continuar esse processo, faça login em cada conta da sua organização que você deseja registrar na AWS Control Tower. Repita as etapas de pré-requisito e as etapas de inscrição para cada conta.

Registro automatizado de contas do AWS Organizations

Você pode usar o método de inscrição descrito em uma postagem de blog chamadaCadastre contas da AWS existentes na AWS Control Towerpara cadastrar seuAWS Organizationsna AWS Control Tower com um processo programático.