Informationen zur Registrierung vorhandener Konten - AWS Control Tower
Was passiert bei der KontoregistrierungRegistriere bestehende Konten bei VPCsRegistrieren Sie Konten mit Ressourcen AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Informationen zur Registrierung vorhandener Konten

Sie können AWS Control Tower Governance auf eine bestehende Einzelperson ausdehnen, AWS-Konto wenn Sie sie in einer Organisationseinheit (OU) registrieren, die bereits von AWS Control Tower verwaltet wird. In Frage kommende Konten existieren in unregistrierten Konten OUs , die Teil derselben AWS Organizations Organisation wie die AWS Control Tower Tower-Organisationseinheit sind.

Für die Registrierung von Konten bei AWS Control Tower gibt es mehrere Methoden. Die Informationen auf dieser Seite gelten für alle Registrierungsmethoden.

Anmerkung

Sie können ein vorhandenes AWS Konto nur bei der ersten Einrichtung der landing zone als Audit- oder Protokollarchivkonto registrieren.

Was passiert bei der Kontoregistrierung

Während des Registrierungsprozesses führt AWS Control Tower die folgenden Aktionen aus:

  • Grundlegende Erstellung des Kontos, darunter die Bereitstellung dieser Stack-Sets:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Es empfiehlt sich, die Vorlagen dieser Stack-Sets zu überprüfen und sicherzustellen, dass sie nicht mit Ihren bestehenden Richtlinien in Konflikt stehen.

  • Identifiziert das Konto über AWS IAM Identity Center oder. AWS Organizations

  • Platziert des Kontos in der von Ihnen angegebenen OU. Achten Sie darauf SCPs , dass Sie alle in der aktuellen Organisationseinheit verwendeten Elemente anwenden, damit Ihr Sicherheitsstatus konsistent bleibt.

  • Wendet verbindliche Kontrollen auf das Konto an, und zwar anhand der SCPs , die für die gesamte ausgewählte Organisationseinheit gelten.

  • Aktiviert AWS Config und konfiguriert es so, dass alle Ressourcen im Konto aufgezeichnet werden.

  • Fügt dem Konto die AWS Config Regeln hinzu, die die AWS Control Tower Detective Controls anwenden.

Konten und Trails auf Organisationsebene CloudTrail

Für Landezone-Versionen 3.1 und höher, wenn Sie die optionale AWS CloudTrail Integration in den Landezoneneinstellungen ausgewählt haben:

  • Alle Mitgliedskonten in einer Organisationseinheit unterliegen dem AWS CloudTrail Pfad für die Organisationseinheit, unabhängig davon, ob sie registriert sind oder nicht.

  • Wenn Sie ein Konto bei AWS Control Tower registrieren, unterliegt Ihr Konto dem AWS CloudTrail Pfad für die neue Organisation. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.

  • Wenn Sie ein Konto in eine registrierte Organisationseinheit verschieben — zum Beispiel über die AWS Organizations Konsole oder APIs — möchten Sie möglicherweise alle verbleibenden Trails auf Kontoebene für das Konto entfernen. Wenn Sie bereits einen CloudTrail Trail eingerichtet haben, fallen für Sie doppelte Gebühren an. CloudTrail

Wenn du deine landing zone aktualisierst und dich dafür entscheidest, Trails auf Organisationsebene zu deaktivieren, oder wenn deine landing zone älter als Version 3.0 ist, gelten CloudTrail Trails auf Organisationsebene nicht für deine Konten.

Registriere bestehende Konten bei VPCs

AWS Control Tower geht VPCs anders vor, wenn Sie ein neues Konto in Account Factory einrichten, als wenn Sie ein bestehendes Konto registrieren.

  • Wenn Sie ein neues Konto erstellen, entfernt AWS Control Tower automatisch die AWS Standard-VPC und erstellt eine neue VPC für dieses Konto.

  • Wenn Sie ein vorhandenes Konto registrieren, erstellt AWS Control Tower keine neue VPC für dieses Konto.

  • Wenn Sie ein vorhandenes Konto registrieren, entfernt AWS Control Tower keine bestehende VPC oder AWS Standard-VPC, die mit dem Konto verknüpft sind.

Tipp

Sie können das Standardverhalten für neue Konten ändern, indem Sie Account Factory so konfigurieren, dass standardmäßig keine VPC für Konten in Ihrer Organisation unter AWS Control Tower eingerichtet wird. Weitere Informationen finden Sie unter Erstellen Sie ein Konto in AWS Control Tower ohne VPC.

Registrieren Sie Konten mit Ressourcen AWS Config

Das Konto, das registriert werden soll, darf nicht über vorhandene AWS Config Ressourcen verfügen. Weitere Informationen finden Sie unter Konten registrieren, für die bereits Ressourcen vorhanden AWS Config sind.

Im Folgenden finden Sie einige AWS Config CLI-Beispielbefehle, mit denen Sie den Status der AWS Config Ressourcen Ihres vorhandenen Kontos ermitteln können, z. B. des Konfigurationsrekorders und des Lieferkanals.

Befehle anzeigen:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

Die normale Antwort ist ungefähr so "name": "default"

Befehle löschen:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Beispiel für das Hinzufügen der Rolle AWSControlTowerExecution

Die folgende YAML-Vorlage kann Ihnen dabei helfen, die erforderliche Rolle in einem Konto zu erstellen, sodass sie programmgesteuert registriert werden kann.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess