Apa yang terjadi selama pendaftaran akun Daftarkan akun yang ada dengan VPCs Daftarkan akun dengan sumber daya AWS Config

Tentang mendaftarkan akun yang ada

Anda dapat memperluas tata kelola AWS Control Tower ke individu, yang ada Akun AWS saat Anda mendaftarkannya ke unit organisasi (OU) yang sudah diatur oleh AWS Control Tower. Akun yang memenuhi syarat ada di tidak terdaftar OUs yang merupakan bagian dari AWS Organizations organisasi yang sama dengan AWS Control Tower OU.

Ada beberapa metode untuk mendaftarkan akun ke AWS Control Tower. Informasi di halaman ini berlaku untuk semua metode pendaftaran.

catatan

Anda tidak dapat mendaftarkan AWS akun yang ada untuk dijadikan akun audit atau arsip log Anda kecuali selama penyiapan landing zone awal.

Apa yang terjadi selama pendaftaran akun

Selama proses pendaftaran, AWS Control Tower melakukan tindakan berikut:

Dasar-dasar akun, yang mencakup penerapan kumpulan tumpukan ini:
- AWSControlTowerBP-BASELINE-CLOUDTRAIL
- AWSControlTowerBP-BASELINE-CLOUDWATCH
- AWSControlTowerBP-BASELINE-CONFIG
- AWSControlTowerBP-BASELINE-ROLES
- AWSControlTowerBP-BASELINE-SERVICE-ROLES
- AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES
- AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
Sebaiknya tinjau templat kumpulan tumpukan ini dan pastikan templat tersebut tidak bertentangan dengan kebijakan Anda yang ada.
Mengidentifikasi akun melalui AWS IAM Identity Center atau AWS Organizations.
Menempatkan akun ke dalam OU yang telah Anda tentukan. Pastikan untuk menerapkan semua SCPs yang diterapkan dalam OU saat ini, sehingga postur keamanan Anda tetap konsisten.
Menerapkan kontrol wajib ke akun dengan cara SCPs yang berlaku untuk OU yang dipilih secara keseluruhan.
Mengaktifkan AWS Config dan mengonfigurasinya untuk merekam semua sumber daya di akun.
Menambahkan AWS Config aturan yang menerapkan kontrol detektif AWS Control Tower ke akun.

Akun dan jejak tingkat organisasi CloudTrail

Untuk landing zone versi 3.1 dan yang lebih baru, jika Anda telah memilih AWS CloudTrail integrasi opsional dalam pengaturan landing zone:

Semua akun anggota dalam OU diatur oleh AWS CloudTrail jejak untuk OU, terdaftar atau tidak.
Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi baru. Jika Anda memiliki penerapan CloudTrail jejak yang sudah ada, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower.
Jika Anda memindahkan akun ke OU terdaftar—misalnya melalui AWS Organizations konsol atau APIs —Anda mungkin ingin menghapus jejak tingkat akun yang tersisa untuk akun tersebut. Jika Anda memiliki penyebaran CloudTrail jejak yang ada, Anda akan dikenakan biaya duplikat CloudTrail .

Jika Anda memperbarui landing zone dan memilih untuk keluar dari jalur tingkat organisasi, atau jika landing zone Anda lebih tua dari versi 3.0, CloudTrail jejak tingkat organisasi tidak berlaku untuk akun Anda.

Daftarkan akun yang ada dengan VPCs

AWS Control Tower menangani VPCs secara berbeda saat Anda menyediakan akun baru di Account Factory dibandingkan saat Anda mendaftarkan akun yang sudah ada.

Saat Anda membuat akun baru, AWS Control Tower secara otomatis menghapus VPC AWS default dan membuat VPC baru untuk akun tersebut.
Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak membuat VPC baru untuk akun tersebut.
Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak menghapus VPC yang ada atau VPC AWS default yang terkait dengan akun tersebut.

Tip

Anda dapat mengubah perilaku default untuk akun baru dengan mengonfigurasi Account Factory, sehingga tidak menyiapkan VPC secara default untuk akun di organisasi Anda di bawah AWS Control Tower. Untuk informasi selengkapnya, lihat Membuat Akun di AWS Control Tower Tanpa VPC.

Daftarkan akun dengan sumber daya AWS Config

Akun yang akan didaftarkan tidak boleh memiliki AWS Config sumber daya yang ada. Lihat Mendaftarkan akun yang memiliki AWS Config sumber daya yang ada.

Berikut adalah beberapa contoh perintah AWS Config CLI yang dapat Anda gunakan untuk menentukan status AWS Config sumber daya akun Anda yang ada, seperti perekam konfigurasi dan saluran pengiriman.

Lihat perintah:

aws configservice describe-delivery-channels
aws configservice describe-delivery-channel-status
aws configservice describe-configuration-recorders

Respon normal adalah sesuatu seperti "name": "default"

Hapus perintah:

aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT
aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT
aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Contoh untuk menambahkan AWSControlTowerExecution peran

Template YAMB berikut dapat membantu Anda dalam membuat peran yang diperlukan dalam akun, sehingga dapat didaftarkan secara terprogram.


AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Lihat akun Anda

Prasyarat untuk pendaftaran