À propos de l'inscription de comptes existants - AWS Control Tower
Que se passe-t-il lors de l'inscription au compteInscrivez des comptes existants avec VPCsInscrire des comptes avec des ressources AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À propos de l'inscription de comptes existants

Vous pouvez étendre la gouvernance d'AWS Control Tower à un individu, existant Compte AWS lorsque vous l'inscrivez dans une unité organisationnelle (UO) déjà régie par AWS Control Tower. Les comptes éligibles existent dans des comptes non enregistrés OUs qui font partie de la même AWS Organizations organisation que l'unité d'organisation AWS Control Tower.

Il existe plusieurs méthodes pour inscrire des comptes dans AWS Control Tower. Les informations de cette page s'appliquent à toutes les méthodes d'inscription.

Note

Vous ne pouvez pas enregistrer un AWS compte existant comme compte d'audit ou d'archivage des journaux, sauf lors de la configuration initiale de la zone d'atterrissage.

Que se passe-t-il lors de l'inscription au compte

Au cours du processus d'inscription, AWS Control Tower effectue les actions suivantes :

  • Établit la référence du compte, ce qui inclut le déploiement de ces ensembles de piles :

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Il est conseillé de passer en revue les modèles de ces ensembles de piles et de s'assurer qu'ils ne sont pas en conflit avec vos stratégies existantes.

  • Identifie le compte via AWS IAM Identity Center ou AWS Organizations.

  • Place le compte dans l'unité d'organisation que vous avez spécifiée. Veillez à appliquer tout SCPs ce qui est appliqué dans l'unité d'organisation actuelle, afin que votre posture de sécurité reste cohérente.

  • Applique les contrôles obligatoires au compte au moyen de ceux SCPs qui s'appliquent à l'unité d'organisation sélectionnée dans son ensemble.

  • Active AWS Config et configure le système pour enregistrer toutes les ressources du compte.

  • Ajoute les AWS Config règles qui appliquent les contrôles de détection d'AWS Control Tower au compte.

Comptes et parcours au niveau de l'organisation CloudTrail

Pour les versions 3.1 et supérieures de la zone d'atterrissage, si vous avez sélectionné l' AWS CloudTrail intégration facultative dans les paramètres de la zone d'atterrissage :

  • Tous les comptes des membres d'une UO sont régis par l' AWS CloudTrail historique de l'UO, qu'ils soient inscrits ou non.

  • Lorsque vous enregistrez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de la nouvelle organisation. Si vous avez déjà déployé une version d'essai CloudTrail , des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower.

  • Si vous transférez un compte vers une unité d'organisation enregistrée, par exemple au moyen de la AWS Organizations console ou APIs, vous souhaiterez peut-être supprimer toute trace restante au niveau du compte. Si vous avez déjà déployé un CloudTrail trail, vous devrez payer des CloudTrail frais supplémentaires.

Si vous mettez à jour votre zone d'atterrissage et que vous choisissez de ne plus participer aux pistes au niveau de l'organisation, ou si votre zone d'atterrissage est antérieure à la version 3.0, les CloudTrail pistes au niveau de l'organisation ne s'appliquent pas à vos comptes.

Inscrivez des comptes existants avec VPCs

La gestion d'AWS Control Tower est VPCs différente lorsque vous créez un nouveau compte dans Account Factory et lorsque vous enregistrez un compte existant.

  • Lorsque vous créez un nouveau compte, AWS Control Tower supprime automatiquement le VPC AWS par défaut et crée un nouveau VPC pour ce compte.

  • Lorsque vous enregistrez un compte existant, AWS Control Tower ne crée pas de nouveau VPC pour ce compte.

  • Lorsque vous enregistrez un compte existant, AWS Control Tower ne supprime aucun VPC existant ou VPC AWS par défaut associé au compte.

Astuce

Vous pouvez modifier le comportement par défaut des nouveaux comptes en configurant Account Factory, afin qu'il ne configure pas de VPC par défaut pour les comptes de votre organisation sous AWS Control Tower. Pour de plus amples informations, veuillez consulter Créez un compte dans AWS Control Tower sans VPC.

Inscrire des comptes avec des ressources AWS Config

Le compte à inscrire ne doit pas disposer de AWS Config ressources existantes. Consultez la section Inscrire des comptes disposant de AWS Config ressources existantes.

Voici quelques exemples de commandes AWS Config CLI que vous pouvez utiliser pour déterminer l'état des AWS Config ressources de votre compte existant, telles que l'enregistreur de configuration et le canal de diffusion.

Commandes d'affichage :

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La réponse normale est quelque chose comme "name": "default"

Commandes de suppression :

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Exemple d'ajout du AWSControlTowerExecution rôle

Le modèle YAML suivant peut vous aider à créer le rôle requis dans un compte, afin qu'il puisse être inscrit par programme.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess