Daftarkan akun yang memiliki sumber daya yang ada AWS Config - AWS Control Tower
Langkah 1: Hubungi dukungan untuk menambahkan akun ke daftar izinkanLangkah 2: Buat peran IAM baru di akun anggotaLangkah 3: Identifikasi AWS Daerah dengan sumber daya yang sudah ada sebelumnyaLangkah 4: Identifikasi AWS Daerah tanpa AWS Config sumber daya apa punLangkah 5: Ubah sumber daya yang ada di setiap AWS WilayahLangkah 5a. AWS Config sumber daya perekamLangkah 5b. Memodifikasi sumber daya saluran AWS Config pengirimanLangkah 5c. Memodifikasi AWS Config sumber daya otorisasi agregasiLangkah 6: Buat sumber daya yang tidak ada, di Wilayah yang diatur oleh AWS Control TowerLangkah 7: Daftarkan OU dengan AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan akun yang memiliki sumber daya yang ada AWS Config

Topik ini memberikan step-by-step pendekatan untuk cara mendaftarkan akun yang memiliki AWS Config sumber daya yang ada. Untuk contoh cara memeriksa sumber daya yang ada, lihatDaftarkan akun dengan sumber daya AWS Config.

Contoh sumber AWS Config daya

Berikut adalah beberapa jenis AWS Config sumber daya yang mungkin sudah dimiliki akun Anda. Sumber daya ini mungkin perlu dimodifikasi agar Anda dapat mendaftarkan akun Anda ke AWS Control Tower.

  • AWS Config perekam

  • AWS Config saluran pengiriman

  • AWS Config otorisasi agregasi

Batasan

  • Mendaftarkan akun dengan sumber daya AWS Config yang ada tidak didukung untuk akun manajemen atau akun integrasi layanan yang dikonfigurasi di landing zone.

  • Akun dapat didaftarkan hanya dengan menggunakan registrasi OU atau alur kerja pendaftaran ulang yang memungkinkan. AWSControlTowerBaseline Akun tidak dapat didaftarkan dengan mengaktifkan atau mengatur ulang. ConfigBaseline

  • Akun dengan sumber daya AWS Config yang ada tidak didukung oleh. Memindahkan dan mendaftarkan akun dengan pendaftaran otomatis

  • Jika sumber daya dimodifikasi dan membuat drift di akun, AWS Control Tower tidak memperbarui sumber daya.

  • AWS Config sumber daya di Wilayah yang tidak diatur oleh AWS Control Tower tidak diubah.

Asumsi

  • Anda telah menerapkan zona landing zone AWS Control Tower.

  • Akun Anda belum terdaftar dengan AWS Control Tower.

  • Akun Anda memiliki setidaknya satu AWS Config sumber daya yang sudah ada sebelumnya di setidaknya satu Wilayah yang diatur oleh AWS Control Tower.

  • Akun Anda tidak dalam penyimpangan tata kelola.

catatan

Jika Anda mencoba mendaftarkan akun yang memiliki sumber daya Config yang ada, tanpa akun ditambahkan ke daftar izin, pendaftaran akan gagal. Setelah itu, jika Anda kemudian mencoba menambahkan akun yang sama ke daftar izin, AWS Control Tower tidak dapat memvalidasi bahwa akun tersebut disediakan dengan benar. Anda harus membatalkan penyediaan akun dari AWS Control Tower sebelum Anda dapat meminta daftar izin dan kemudian mendaftarkannya. Jika Anda hanya memindahkan akun ke AWS Control Tower OU yang berbeda, hal itu menyebabkan penyimpangan tata kelola, yang juga mencegah akun ditambahkan ke daftar izin.

Untuk blog yang menjelaskan pendekatan otomatis untuk mendaftarkan akun dengan sumber daya yang ada, lihat Mengotomatiskan pendaftaran akun dengan AWS Config sumber daya yang ada AWS Config ke AWS Control Tower.

Proses ini memiliki 5 langkah utama.

  1. Tambahkan akun ke daftar izin AWS Control Tower.

  2. Buat peran IAM baru di akun.

  3. Memodifikasi AWS Config sumber daya yang sudah ada sebelumnya.

  4. Buat AWS Config sumber daya di AWS Wilayah yang tidak ada.

  5. Daftarkan akun dengan AWS Control Tower.

Sebelum Anda melanjutkan, pertimbangkan harapan berikut mengenai proses ini.

  • AWS Control Tower tidak membuat AWS Config sumber daya apa pun di akun ini.

  • Setelah pendaftaran, AWS Control Tower mengontrol secara otomatis melindungi AWS Config sumber daya yang Anda buat, termasuk peran IAM baru.

  • Jika ada perubahan yang dilakukan pada AWS Config sumber daya setelah pendaftaran, sumber daya tersebut harus diperbarui agar selaras dengan pengaturan AWS Control Tower sebelum Anda dapat mendaftarkan ulang akun.

Langkah 1: Hubungi dukungan untuk menambahkan akun ke daftar izinkan

Sertakan frasa ini di baris subjek tiket Anda:

Daftarkan akun yang memiliki AWS Config sumber daya yang ada ke AWS Control Tower

Sertakan detail berikut di badan tiket Anda:

  • Nomor akun manajemen

  • Nomor akun akun anggota yang memiliki AWS Config sumber daya yang ada. Anda akan dapat membuat kasus dukungan untuk semua akun yang ingin Anda daftarkan.

  • Wilayah beranda pilihan Anda untuk penyiapan AWS Control Tower

catatan

Waktu yang diperlukan untuk menambahkan akun Anda ke daftar izin adalah 2 hari kerja.

Langkah 2: Buat peran IAM baru di akun anggota

  1. Buka CloudFormation konsol untuk akun anggota.

  2. Buat tumpukan baru menggunakan template berikut

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Berikan nama untuk tumpukan sebagai CustomerCreatedConfigRecorderRoleForControlTower

  4. Buat tumpukan.

catatan

Apa pun SCPs yang Anda buat harus mengecualikan aws-controltower-ConfigRecorderRole* peran. Jangan mengubah izin yang membatasi kemampuan AWS Config aturan untuk melakukan evaluasi.

Ikuti panduan ini sehingga Anda tidak menerima AccessDeniedException ketika Anda memiliki SCPs blok aws-controltower-ConfigRecorderRole* untuk memanggil Config.

Langkah 3: Identifikasi AWS Daerah dengan sumber daya yang sudah ada sebelumnya

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah yang memiliki setidaknya satu jenis contoh AWS Config sumber daya yang ada yang ditampilkan sebelumnya.

Langkah 4: Identifikasi AWS Daerah tanpa AWS Config sumber daya apa pun

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah di mana tidak ada AWS Config sumber daya dari jenis contoh yang ditampilkan sebelumnya.

Langkah 5: Ubah sumber daya yang ada di setiap AWS Wilayah

Untuk langkah ini, informasi berikut diperlukan tentang penyiapan AWS Control Tower Anda.

  • AUDIT_ACCOUNT- ID akun integrasi layanan AWS Config (sebelumnya dikenal sebagai akun Audit)

  • CONFIG_BUCKET- bucket AWS S3 tempat AWS Config memberikan snapshot konfigurasi dan file riwayat konfigurasi. Temukan dan konfirmasikan bahwa bucket AWS S3 ada sebelum melanjutkan ke langkah berikutnya.

    • Untuk landing zone versi 3.3 atau lebih rendah, bucket AWS S3 diberi namaaws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION, terletak di akun Logging.

    • Untuk landing zone versi 4.0 atau lebih tinggi, bucket AWS S3 diberi namaaws-controltower-config-logs-AUDIT_ACCOUNT-<REGION_STRING>-<SUFFIX_STRING>, terletak di akun integrasi layanan AWS Config (sebelumnya dikenal sebagai akun Audit).

  • IAM_ROLE_ARN- peran IAM ARN dibuat di Langkah 2

  • ORGANIZATION_ID- ID organisasi untuk akun manajemen

  • MEMBER_ACCOUNT_NUMBER- akun anggota yang sedang dimodifikasi

  • HOME_REGION- Wilayah rumah untuk penyiapan AWS Control Tower.

Ubah setiap sumber daya yang ada dengan mengikuti instruksi yang diberikan di bagian 5a hingga 5c, yang mengikuti.

Langkah 5a. AWS Config sumber daya perekam

Hanya satu AWS Config perekam yang dapat ada per AWS Wilayah. Jika ada, ubah pengaturan seperti yang ditunjukkan. Ganti item GLOBAL_RESOURCE_RECORDING dengan true di Wilayah rumah Anda. Ganti item dengan false untuk Wilayah lain di mana AWS Config perekam ada.

  • Nama: JANGAN UBAH

  • roLearn: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: benar

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Kosong

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string RECORDER_NAME dengan nama AWS Config perekam yang ada.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Langkah 5b. Memodifikasi sumber daya saluran AWS Config pengiriman

Hanya satu saluran AWS Config pengiriman yang dapat ada per Wilayah. Jika ada yang lain, ubah pengaturan seperti yang ditunjukkan.

  • Nama: JANGAN UBAH

  • ConfigSnapshotDeliveryProperties: TwentyFour _Jam

  • S3BucketName: CONFIG_BUCKET

  • S3KeyPrefix: ORGANIZATION_ID

  • SnsTopicARN: Topik SNS ARN dari akun audit, dengan format berikut:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string DELIVERY_CHANNEL_NAME dengan nama AWS Config perekam yang ada.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=CONFIG_BUCKET,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Langkah 5c. Memodifikasi AWS Config sumber daya otorisasi agregasi

catatan

Langkah ini tidak diperlukan untuk landing zone versi 4.0 atau lebih tinggi.

Beberapa otorisasi agregasi dapat ada per Wilayah. AWS Control Tower memerlukan otorisasi agregasi yang menetapkan akun audit sebagai akun resmi, dan memiliki Wilayah asal untuk AWS Control Tower sebagai Wilayah resmi. Jika tidak ada, buat yang baru dengan pengaturan berikut:

  • AuthorizedAccountId: ID akun Audit

  • AuthorizedAwsRegion: Wilayah beranda untuk penyiapan AWS Control Tower

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Langkah 6: Buat sumber daya yang tidak ada, di Wilayah yang diatur oleh AWS Control Tower

Merevisi CloudFormation template, sehingga di wilayah rumah Anda IncludeGlobalResourcesTypesparameter memiliki nilaiGLOBAL_RESOURCE_RECORDING, seperti yang ditunjukkan pada contoh berikut. Juga perbarui bidang yang diperlukan dalam template, seperti yang ditentukan dalam bagian ini.

Ganti item GLOBAL_RESOURCE_RECORDING dengan true di Wilayah rumah Anda. Ganti item dengan false untuk Wilayah lain di mana AWS Config perekam tidak ada.

  1. Arahkan ke CloudFormation konsol akun manajemen.

  2. Buat yang baru StackSet dengan nama CustomerCreatedConfigResourcesForControlTower.

  3. Salin dan perbarui template berikut:

    catatan

    CustomerCreatedAggregationAuthorizationSumber daya dalam template tidak diperlukan untuk landing zone versi 4.0 atau lebih tinggi.

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: CONFIG_BUCKET
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Perbarui template dengan bidang wajib:

    1. Di BucketName bidang S3, ganti CONFIG_BUCKET

    2. Di KeyPrefix bidang S3, ganti ORGANIZATION_ID

    3. Di bidang SnsTopicARN, ganti AUDIT_ACCOUNT

    4. Di AuthorizedAccountIdlapangan, ganti AUDIT_ACCOUNT

    5. Di AuthorizedAwsRegionlapangan, ganti HOME_REGION

  4. Selama penyebaran di CloudFormation konsol, tambahkan nomor akun anggota.

  5. Tambahkan AWS Wilayah yang diidentifikasi pada Langkah 4.

  6. Menyebarkan set tumpukan.

Langkah 7: Daftarkan OU dengan AWS Control Tower

Di dasbor AWS Control Tower, daftarkan OU.

catatan

Alur kerja akun Mendaftar tidak akan berhasil untuk tugas ini. Anda harus memilih Register OU atau Re-register OU.