Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Inscrever contas que tenham recursos do AWS Config existentes

PDF
RSS
Modo de foco
Inscrever contas que tenham recursos do AWS Config existentes - AWS Control Tower
Etapa 1: entre em contato com o suporte ao cliente com um tíquete para adicionar a conta à lista de permissões do AWS Control TowerEtapa 2: crie um perfil do IAM na conta-membro. Etapa 3: identificar as AWS regiões com recursos pré-existentes Etapa 4: Identificar as AWS regiões sem AWS Config recursosEtapa 5: modifique os recursos existentes em cada região da AWSEtapa 5a. AWS Config recursos de gravadorEtapa 5b. Modifique os recursos do canal de AWS Config entrega Etapa 5c. Modificar AWS Config recursos de autorização de agregaçãoEtapa 6: crie recursos onde eles não existem, em regiões administradas pelo AWS Control Tower Etapa 7: registre a UO com o AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Este tópico fornece uma step-by-step abordagem sobre como inscrever contas que tenham AWS Config recursos existentes. Consulte exemplos de como verificar seus recursos existentes em Exemplo de comandos AWS Config CLI para status de recursos.

nota

Se você planeja trazer AWS contas existentes para a AWS Control Tower como contas de arquivo de auditoria e log, e se essas contas tiverem AWS Config recursos existentes, você deve excluir completamente AWS Config os recursos existentes antes de poder inscrever essas contas na AWS Control Tower para essa finalidade. Para contas que não se destinam a ser contas de auditoria e de arquivamento de logs, você pode modificar os recursos existentes do Config.

Exemplos de AWS Config recursos

Aqui estão alguns tipos de AWS Config recursos que sua conta já pode ter. Esses recursos podem precisar ser modificados para que você possa inscrever sua conta no AWS Control Tower.

  • AWS Config gravador

  • AWS Config canal de entrega

  • AWS Config autorização de agregação

Suposições

  • Você implantou uma zona de pouso do AWS Control Tower

  • Sua conta ainda não está inscrita no AWS Control Tower.

  • Sua conta tem pelo menos um AWS Config recurso preexistente em pelo menos uma das regiões do AWS Control Tower governadas pela conta de gerenciamento.

  • Sua conta não é a conta de gerenciamento do AWS Control Tower.

  • Sua conta não está em desvio de governança.

Para um blog que descreve uma abordagem automatizada para cadastrar contas com AWS Config recursos existentes, consulte Automatizar a inscrição de contas com AWS Config recursos existentes no AWS Control Tower. Você poderá enviar um único tíquete de suporte para todas as contas que deseja inscrever, conforme descrito em Etapa 1: entre em contato com o suporte ao cliente com um tíquete para adicionar a conta à lista de permissões do AWS Control Tower, a seguir.

Limitações

  • A conta só pode ser inscrita usando o fluxo de trabalho do AWS Control Tower para ampliar a governança.

  • Se os recursos forem modificados e criarem desvios na conta, o AWS Control Tower não atualizará os recursos.

  • AWS Config os recursos em regiões que não são governadas pelo AWS Control Tower não são alterados.

nota

Se você tentar inscrever uma conta que tenha recursos do Config existentes, sem que a conta seja adicionada à lista de permissões, a inscrição falhará. Depois disso, se você tentar adicionar essa mesma conta à lista de permissões, o AWS Control Tower não poderá validar se a conta foi provisionada corretamente. Você deve cancelar o provisionamento da conta do AWS Control Tower antes de solicitar a lista de permissões e depois inscrevê-la. Se você mover a conta apenas para outra UO do AWS Control Tower, isso causará uma mudança na governança, o que também impede que a conta seja adicionada à lista de permissões.

Esse processo tem cinco etapas principais.

  1. Adicione a conta à lista de permissões do AWS Control Tower.

  2. Crie um perfil do IAM na conta.

  3. Modifique os AWS Config recursos pré-existentes.

  4. Crie AWS Config recursos em AWS regiões onde eles não existem.

  5. Inscreva a conta no AWS Control Tower.

Antes de prosseguir, considere as expectativas a seguir em relação a esse processo.

  • O AWS Control Tower não cria nenhum AWS Config recurso nessa conta.

  • Após o cadastro, os controles do AWS Control Tower protegem automaticamente os AWS Config recursos que você criou, incluindo a nova função do IAM.

  • Se alguma alteração for feita nos AWS Config recursos após a inscrição, esses recursos devem ser atualizados para se alinharem às configurações do AWS Control Tower antes que você possa reinscrever a conta.

Etapa 1: entre em contato com o suporte ao cliente com um tíquete para adicionar a conta à lista de permissões do AWS Control Tower

Inclua esta frase na linha de assunto do tíquete:

Inscreva contas que tenham AWS Config recursos existentes no AWS Control Tower

Inclua os seguintes detalhes no corpo do tíquete:

  • Número da conta de gerenciamento

  • Números de contas de membros que têm AWS Config recursos existentes

  • A região de origem selecionada para a configuração do AWS Control Tower

nota

O tempo necessário para adicionar a conta à lista de permissões é de dois dias úteis.

Etapa 2: crie um perfil do IAM na conta-membro.

  1. Abra o AWS CloudFormation console da conta do membro.

  2. Criar uma pilha usando o modelo a seguir

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Forneça o nome da pilha como CustomerCreatedConfigRecorderRoleForControlTower

  4. Crie a pilha.

nota

Qualquer um SCPs que você criar deve excluir uma aws-controltower-ConfigRecorderRole* função. Não modifique as permissões que restringem a capacidade AWS Config das regras de realizar avaliações.

Siga estas diretrizes para que você não receba um aviso AccessDeniedException quando tiver SCPs esse bloqueio aws-controltower-ConfigRecorderRole* de chamar o Config.

Etapa 3: identificar as AWS regiões com recursos pré-existentes

Para cada região governada (governada pelo AWS Control Tower) na conta, identifique e anote as regiões que têm pelo menos um dos tipos de exemplo de AWS Config recursos existentes mostrados anteriormente.

Etapa 4: Identificar as AWS regiões sem AWS Config recursos

Para cada região governada (governada pela AWS Control Tower) na conta, identifique e anote as regiões nas quais não há AWS Config recursos dos tipos de exemplo mostrados anteriormente.

Etapa 5: modifique os recursos existentes em cada região da AWS

Para essa etapa, são necessárias as informações a seguir sobre a configuração do AWS Control Tower.

  • LOGGING_ACCOUNT: o ID da conta de arquivamento de logs

  • AUDIT_ACCOUNT: o ID da conta de auditoria

  • IAM_ROLE_ARN: o ARN do perfil do IAM criado na Etapa 1

  • ORGANIZATION_ID: é o ID da conta de gerenciamento da organização

  • MEMBER_ACCOUNT_NUMBER: a conta-membro que está sendo modificada

  • HOME_REGION: a região de origem da configuração do AWS Control Tower.

Modifique cada recurso existente seguindo as instruções fornecidas nas seções de 5a a 5c, a seguir.

Etapa 5a. AWS Config recursos de gravador

Somente um AWS Config gravador pode existir por AWS região. Se houver, modifique as configurações conforme mostrado. Substitua o item GLOBAL_RESOURCE_RECORDING por verdadeiro em sua região de origem. Substitua o item por false para outras regiões onde existe um AWS Config gravador.

  • Nome: NÃO MUDE

  • RoleARN: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: verdadeiro

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vazio

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua RECORDER_NAME a string pelo nome do AWS Config gravador existente.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Etapa 5b. Modifique os recursos do canal de AWS Config entrega

Somente um canal AWS Config de entrega pode existir por região. Se existir outro, modifique as configurações conforme exibido.

  • Nome: NÃO MUDE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Horas

  • S3BucketName: O nome do bucket de registro da conta de registro do AWS Control Tower

    aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION

  • S3: KeyPrefix ORGANIZATION_ID

  • SnsTopicARN: O ARN do tópico do SNS da conta de auditoria, com o seguinte formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua DELIVERY_CHANNEL_NAME a string pelo nome do AWS Config gravador existente.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Etapa 5c. Modificar AWS Config recursos de autorização de agregação

Podem existir várias autorizações de agregação por região. O AWS Control Tower exige uma autorização de agregação que especifique a conta de auditoria como a conta autorizada e tenha a região de origem do AWS Control Tower como a região autorizada. Se não existir, crie uma com as seguintes configurações:

  • AuthorizedAccountId: O ID da conta de auditoria

  • AuthorizedAwsRegion: A região de origem da configuração do AWS Control Tower

Essa modificação pode ser feita por meio da AWS CLI usando o seguinte comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Etapa 6: crie recursos onde eles não existem, em regiões administradas pelo AWS Control Tower

Revise o AWS CloudFormation modelo para que, na sua região de origem, o IncludeGlobalResourcesTypesparâmetro tenha o valorGLOBAL_RESOURCE_RECORDING, conforme mostrado no exemplo a seguir. Atualize também os campos obrigatórios no modelo, conforme especificado nesta seção.

Substitua o item GLOBAL_RESOURCE_RECORDING por verdadeiro em sua região de origem. Substitua o item por false para outras regiões onde não existe um AWS Config gravador.

  1. Navegue até o AWS CloudFormation console da conta de gerenciamento.

  2. Crie um novo StackSet com o nome CustomerCreatedConfigResourcesForControlTower.

  3. Copie e atualize o seguinte modelo:

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Atualize o modelo com os campos obrigatórios:

    1. No BucketName campo S3, substitua e LOGGING_ACCOUNT_ID HOME_REGION

    2. No KeyPrefix campo S3, substitua o ORGANIZATION_ID

    3. No campo SnsTopicARN, substitua o AUDIT_ACCOUNT

    4. No AuthorizedAccountIdcampo, substitua o AUDIT_ACCOUNT

    5. No AuthorizedAwsRegioncampo, substitua o HOME_REGION

  4. Durante a implantação no AWS CloudFormation console, adicione o número da conta do membro.

  5. Adicione as AWS regiões que foram identificadas na Etapa 4.

  6. Implante o conjunto de pilhas.

Etapa 7: registre a UO com o AWS Control Tower

No painel do AWS Control Tower, registre a UO.

nota

O fluxo de trabalho Inscrever conta não será bem-sucedido para essa tarefa. Você deve escolher Registrar UO ou Registrar OU novamente.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.