注册现有的 AWS 账户 - AWS Control Tower
在账户注册期间发生的情况使用注册现有账户 VPCs资源状态 AWS Config CLI命令示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册现有的 AWS 账户

您可以将 Cont AWS rol Tower 的治理范围扩展到个人, AWS 账户 当您将控制塔注册到已经由 AWS Control Tower 管理的组织单位 (OU) 时,该个人就存在了。符合条件的账户存在于未注册的账户中OUs,这些账户与 Cont AWS rol Tower OU 属于同一个 AWS Organizations 组织

注意

除非在初始登录区设置期间,否则无法注册现有账户作为审计或日志存档账户。

首先设置可信访问

在 AWS 账户 将现有账户注册到 Cont AWS rol Tower 之前,必须授予 Cont AWS rol Tower 管理或监管该账户的权限。具体而言,Cont AWS rol Tower 需要权限才能在您之间 AWS CloudFormation 和 AWS Organizations 代表您之间建立 AWS CloudFormation 可信访问权限,这样才能将您的堆栈自动部署到所选组织中的账户。有了这种可信访问,AWSControlTowerExecution 角色就能开展管理每个账户所需的活动。因此,在注册之前,您必须将此角色添加到每个账户。

启用可信访问后,只需一次操作 AWS CloudFormation 即可跨多个账户创建、更新或删除堆栈。 AWS 区域 AWSControl Tower 依靠这种信任功能,因此它可以在将现有账户转移到注册的组织单位之前,将角色和权限应用于现有账户,从而对其进行管理。

要了解有关可信访问的更多信息,以及 AWS CloudFormation StackSets,请参阅 AWS CloudFormationStackSets 和 AWS Organizations

在账户注册期间发生的情况

在注册过程中,Cont AWS rol Tower 会执行以下操作:

  • 为账户设定基准,包括部署以下堆栈集:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    最好查看这些堆栈集的模板,并确保它们不会与现有策略冲突。

  • 通过 AWS IAM Identity Center 或识别账户 AWS Organizations。

  • 将账户放入您指定的 OU 中。请务必应用当前 OU 中应用的所有SCPs内容,这样您的安全状况才能保持一致。

  • 通过适用于整个选定组织单位SCPs的强制控制措施对账户应用强制性控制。

  • 启用 AWS Config 并配置它以记录账户中的所有资源。

  • 添加将 Cont AWS rol Tower 侦探控件应用于账户的 AWS Config 规则。

账户和组织级别的跟踪 CloudTrail

无论是否注册,OU 中的所有成员账户都受该 OU 的 AWS CloudTrail 跟踪控制:

  • 当您将账户注册到 Control Tower 时,您的帐户将受新组织的 AWS CloudTrail 跟踪AWS控制。如果您已经部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将该账户注册到 Contro AWS l Tower 之前删除该账户的现有跟踪。

  • 如果您将账户转移到已注册的 OU(例如通过控制 AWS Organizations 台),但您没有继续将该账户注册到 Control TowerAWS,则可能需要删除该账户的所有剩余账户级别跟踪。如果您已经部署了 CloudTrail 跟踪,则会产生重复的 CloudTrail 费用。

如果您更新了着陆区并选择退出组织级别的跟踪,或者您的着陆区版本低于 3.0,则组织级别的 CloudTrail跟踪不适用于您的账户。

使用注册现有账户 VPCs

AWS在 Account Factory 中配置新账户时,Control Tower 的处理VPCs方式与注册现有账户时的处理方式不同。

  • 当您创建新帐户时,Cont AWS rol Tower 会自动删除 AWS 默认VPC帐户VPC并为该帐户创建一个新帐户。

  • 当您注册现有账户时,Cont AWS rol Tower 不会VPC为该账户创建新账户。

  • 当您注册现有账户时,Cont AWS rol Tower 不会移除与该账户VPC关联的任何现有账户VPC或 AWS 默认账户。

提示

您可以通过配置 Account Factory 来更改新账户的默认行为,这样就不会在 Cont AWS rol Tower 下为组织中的账户设置默认行为。VPC有关更多信息,请参阅 在 Cont AWS rol Tower 中创建一个不带账号的账户 VPC

资源状态 AWS Config CLI命令示例

以下是一些示例 AWS Config CLI命令,您可以使用这些命令来确定配置记录器和交付渠道的状态。

查看命令:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

正常的响应类似于 "name": "default"

删除命令:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

以下YAML模板可以帮助您在账户中创建所需的角色,以便可以通过编程方式进行注册。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess