Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Daftarkan akun yang memiliki sumber daya yang ada AWS Config
<a name="existing-config-resources"></a>

Topik ini memberikan step-by-step pendekatan untuk cara mendaftarkan akun yang memiliki AWS Config sumber daya yang ada. Untuk contoh cara memeriksa sumber daya yang ada, lihat[Daftarkan akun dengan sumber daya AWS Config](enroll-account.md#example-config-cli-commands).

**Contoh sumber AWS Config daya**

Berikut adalah beberapa jenis AWS Config sumber daya yang mungkin sudah dimiliki akun Anda. Sumber daya ini mungkin perlu dimodifikasi agar Anda dapat mendaftarkan akun Anda ke AWS Control Tower.
+ AWS Config perekam
+ AWS Config saluran pengiriman
+ AWS Config otorisasi agregasi

**Batasan**
+  Mendaftarkan akun dengan sumber daya AWS Config yang ada tidak didukung untuk akun manajemen atau akun integrasi layanan yang dikonfigurasi di landing zone. 
+  Akun dapat didaftarkan hanya dengan menggunakan registrasi OU atau alur kerja pendaftaran ulang yang memungkinkan. `AWSControlTowerBaseline` Akun tidak dapat didaftarkan dengan mengaktifkan atau mengatur ulang. `ConfigBaseline` 
+  Akun dengan sumber daya AWS Config yang ada tidak didukung oleh. [Memindahkan dan mendaftarkan akun dengan pendaftaran otomatis](account-auto-enrollment.md) 
+ Jika sumber daya dimodifikasi dan membuat drift di akun, AWS Control Tower tidak memperbarui sumber daya.
+ AWS Config sumber daya di Wilayah yang tidak diatur oleh AWS Control Tower tidak diubah.

**Asumsi**
+ Anda telah menerapkan zona landing zone AWS Control Tower.
+ Akun Anda belum terdaftar dengan AWS Control Tower.
+ Akun Anda memiliki setidaknya satu AWS Config sumber daya yang sudah ada sebelumnya di setidaknya satu Wilayah yang diatur oleh AWS Control Tower.
+ Akun Anda tidak dalam penyimpangan tata kelola.

**catatan**  
Jika Anda mencoba mendaftarkan akun yang memiliki sumber daya Config yang ada, tanpa akun ditambahkan ke daftar izin, pendaftaran akan gagal. Setelah itu, jika Anda kemudian mencoba menambahkan akun yang sama ke daftar izin, AWS Control Tower tidak dapat memvalidasi bahwa akun tersebut disediakan dengan benar. Anda harus membatalkan penyediaan akun dari AWS Control Tower sebelum Anda dapat meminta daftar izin dan kemudian mendaftarkannya. Jika Anda hanya memindahkan akun ke AWS Control Tower OU yang berbeda, hal itu menyebabkan penyimpangan tata kelola, yang juga mencegah akun ditambahkan ke daftar izin.

 Untuk blog yang menjelaskan pendekatan otomatis untuk mendaftarkan akun dengan sumber daya yang ada, lihat [Mengotomatiskan pendaftaran akun dengan AWS Config sumber daya yang ada AWS Config ke AWS Control Tower](https://aws.amazon.com//blogs/mt/automate-enrollment-of-accounts-with-existing-aws-config-resources-into-aws-control-tower/). 

**Proses ini memiliki 5 langkah utama.**

1. Tambahkan akun ke daftar izin AWS Control Tower.

1. Buat peran IAM baru di akun.

1. Memodifikasi AWS Config sumber daya yang sudah ada sebelumnya.

1. Buat AWS Config sumber daya di AWS Wilayah yang tidak ada.

1. Daftarkan akun dengan AWS Control Tower.

**Sebelum Anda melanjutkan, pertimbangkan harapan berikut mengenai proses ini.**
+ AWS Control Tower tidak membuat AWS Config sumber daya apa pun di akun ini.
+ Setelah pendaftaran, AWS Control Tower mengontrol secara otomatis melindungi AWS Config sumber daya yang Anda buat, termasuk peran IAM baru.
+ Jika ada perubahan yang dilakukan pada AWS Config sumber daya setelah pendaftaran, sumber daya tersebut harus diperbarui agar selaras dengan pengaturan AWS Control Tower sebelum Anda dapat mendaftarkan ulang akun.

## Langkah 1: Hubungi dukungan untuk menambahkan akun ke daftar izinkan
<a name="existing-config-step-1"></a>

**Sertakan frasa ini di baris subjek tiket Anda:**

*Daftarkan akun yang memiliki AWS Config sumber daya yang ada ke AWS Control Tower*

**Sertakan detail berikut di badan tiket Anda:**
+ Nomor akun manajemen
+  Nomor akun akun anggota yang memiliki AWS Config sumber daya yang ada. Anda akan dapat membuat kasus dukungan untuk semua akun yang ingin Anda daftarkan. 
+ Wilayah beranda pilihan Anda untuk penyiapan AWS Control Tower

**catatan**  
Waktu yang diperlukan untuk menambahkan akun Anda ke daftar izin adalah 2 hari kerja.

## Langkah 2: Buat peran IAM baru di akun anggota
<a name="existing-config-step-2"></a>

1. Buka CloudFormation konsol untuk akun anggota.

1. Buat tumpukan baru menggunakan template berikut

   ```
   AWSTemplateFormatVersion: 2010-09-09
   Description: Configure AWS Config
       
   Resources:
     CustomerCreatedConfigRecorderRole:
       Type: AWS::IAM::Role
       Properties:
         RoleName: aws-controltower-ConfigRecorderRole-customer-created
         AssumeRolePolicyDocument:
           Version: 2012-10-17		 	 	 
           Statement:
             - Effect: Allow
               Principal:
                 Service:
                   - config.amazonaws.com
               Action:
                 - sts:AssumeRole
         Path: /
         ManagedPolicyArns:
           - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
           - arn:aws:iam::aws:policy/ReadOnlyAccess
   ```

1. Berikan nama untuk tumpukan sebagai **CustomerCreatedConfigRecorderRoleForControlTower**

1. Buat tumpukan.

**catatan**  
Apa pun SCPs yang Anda buat harus mengecualikan `aws-controltower-ConfigRecorderRole*` peran. Jangan mengubah izin yang membatasi kemampuan AWS Config aturan untuk melakukan evaluasi.  
Ikuti panduan ini sehingga Anda tidak menerima `AccessDeniedException` ketika Anda memiliki SCPs blok `aws-controltower-ConfigRecorderRole*` untuk memanggil Config.

## Langkah 3: Identifikasi AWS Daerah dengan sumber daya yang sudah ada sebelumnya
<a name="existing-config-step-3"></a>

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah yang memiliki setidaknya satu jenis contoh AWS Config sumber daya yang ada yang ditampilkan sebelumnya.

## Langkah 4: Identifikasi AWS Daerah tanpa AWS Config sumber daya apa pun
<a name="existing-config-step-4"></a>

Untuk setiap Wilayah yang diatur (AWS Control Tower diatur) di akun, identifikasi dan catat Wilayah di mana tidak ada AWS Config sumber daya dari jenis contoh yang ditampilkan sebelumnya.

## Langkah 5: Ubah sumber daya yang ada di setiap AWS Wilayah
<a name="existing-config-step-5"></a>

Untuk langkah ini, informasi berikut diperlukan tentang penyiapan AWS Control Tower Anda.
+  `AUDIT_ACCOUNT`- ID akun integrasi layanan AWS Config (sebelumnya dikenal sebagai akun Audit) 
+  `CONFIG_BUCKET`- bucket AWS S3 tempat AWS Config memberikan snapshot konfigurasi dan file riwayat konfigurasi. Temukan dan konfirmasikan bahwa bucket AWS S3 ada sebelum melanjutkan ke langkah berikutnya. 
  + Untuk landing zone versi 3.3 atau lebih rendah, bucket AWS S3 diberi nama`aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION`, terletak di akun Logging.
  + Untuk landing zone versi 4.0 atau lebih tinggi, bucket AWS S3 diberi nama`aws-controltower-config-logs-AUDIT_ACCOUNT-<REGION_STRING>-<SUFFIX_STRING>`, terletak di akun integrasi layanan AWS Config (sebelumnya dikenal sebagai akun Audit).
+ `IAM_ROLE_ARN`- peran IAM ARN dibuat di Langkah 2
+ `ORGANIZATION_ID`- ID organisasi untuk akun manajemen
+ `MEMBER_ACCOUNT_NUMBER`- akun anggota yang sedang dimodifikasi
+ `HOME_REGION`- Wilayah rumah untuk penyiapan AWS Control Tower.

 Ubah setiap sumber daya yang ada dengan mengikuti instruksi yang diberikan di bagian 5a hingga 5c, yang mengikuti.

## Langkah 5a. AWS Config sumber daya perekam
<a name="modify-config-recorder-resources-step-5a"></a>

Hanya satu AWS Config perekam yang dapat ada per AWS Wilayah. Jika ada, ubah pengaturan seperti yang ditunjukkan. Ganti item `GLOBAL_RESOURCE_RECORDING` dengan **true** di Wilayah rumah Anda. Ganti item dengan **false** untuk Wilayah lain di mana AWS Config perekam ada.
+ **Nama:** JANGAN UBAH
+ **roLearn:** ` IAM_ROLE_ARN`
  + **RecordingGroup:**
  + **AllSupported:** benar
  + **IncludeGlobalResourceTypes:** `GLOBAL_RESOURCE_RECORDING`
  + **ResourceTypes:** Kosong

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string `RECORDER_NAME` dengan nama AWS Config perekam yang ada.

```
aws configservice put-configuration-recorder --configuration-recorder  name={{RECORDER_NAME}},roleARN=arn:aws:iam::{{MEMBER_ACCOUNT_NUMBER}}:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes={{GLOBAL_RESOURCE_RECORDING}} --region {{CURRENT_REGION}}
```

## Langkah 5b. Memodifikasi sumber daya saluran AWS Config pengiriman
<a name="modify-config-delivery-channel-step-5b"></a>

Hanya satu saluran AWS Config pengiriman yang dapat ada per Wilayah. Jika ada yang lain, ubah pengaturan seperti yang ditunjukkan.
+ **Nama:** JANGAN UBAH
+ **ConfigSnapshotDeliveryProperties:** TwentyFour \_Jam
+  **S3BucketName:** {{CONFIG\_BUCKET}} 
+ **S3KeyPrefix:** {{ORGANIZATION\_ID}}
+ **SnsTopicARN:** Topik SNS ARN dari akun audit, dengan format berikut:

  `arn:aws:sns:{{CURRENT_REGION}}:{{AUDIT_ACCOUNT}}:aws-controltower-AllConfigNotifications`

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut. Ganti string `{{DELIVERY_CHANNEL_NAME}}` dengan nama AWS Config perekam yang ada.

```
aws configservice put-delivery-channel --delivery-channel name={{DELIVERY_CHANNEL_NAME}},s3BucketName={{CONFIG_BUCKET}},s3KeyPrefix="{{ORGANIZATION_ID}}",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:{{CURRENT_REGION}}:{{AUDIT_ACCOUNT}}:aws-controltower-AllConfigNotifications --region {{CURRENT_REGION}}
```

## Langkah 5c. Memodifikasi AWS Config sumber daya otorisasi agregasi
<a name="modify-config-aggregator-auth-step-5c"></a>

**catatan**  
Langkah ini tidak diperlukan untuk landing zone versi 4.0 atau lebih tinggi.

Beberapa otorisasi agregasi dapat ada per Wilayah. AWS Control Tower memerlukan otorisasi agregasi yang menetapkan akun audit sebagai akun resmi, dan memiliki Wilayah asal untuk AWS Control Tower sebagai Wilayah resmi. Jika tidak ada, buat yang baru dengan pengaturan berikut:
+ **AuthorizedAccountId:** ID akun Audit
+ **AuthorizedAwsRegion:** Wilayah beranda untuk penyiapan AWS Control Tower

Modifikasi ini dapat dilakukan melalui AWS CLI menggunakan perintah berikut:

 `aws configservice put-aggregation-authorization --authorized-account-id {{AUDIT_ACCOUNT_ID}} --authorized-aws-region {{HOME_REGION}} --region {{CURRENT_REGION}}` 

## Langkah 6: Buat sumber daya yang tidak ada, di Wilayah yang diatur oleh AWS Control Tower
<a name="existing-config-step-6"></a>

Merevisi CloudFormation template, sehingga di wilayah rumah Anda **IncludeGlobalResourcesTypes**parameter memiliki nilai`GLOBAL_RESOURCE_RECORDING`, seperti yang ditunjukkan pada contoh berikut. Juga perbarui bidang yang diperlukan dalam template, seperti yang ditentukan dalam bagian ini.

Ganti item `GLOBAL_RESOURCE_RECORDING` dengan **true** di Wilayah rumah Anda. Ganti item dengan **false** untuk Wilayah lain di mana AWS Config perekam tidak ada.

1. Arahkan ke CloudFormation konsol akun manajemen.

1. Buat yang baru StackSet dengan nama **CustomerCreatedConfigResourcesForControlTower**.

1. Salin dan perbarui template berikut:
**catatan**  
`CustomerCreatedAggregationAuthorization`Sumber daya dalam template tidak diperlukan untuk landing zone versi 4.0 atau lebih tinggi.

   ```
   AWSTemplateFormatVersion: 2010-09-09
   Description: Configure AWS Config
   Resources:
     CustomerCreatedConfigRecorder:
       Type: AWS::Config::ConfigurationRecorder
       Properties:
         Name: aws-controltower-BaselineConfigRecorder-customer-created
         RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
         RecordingGroup:
           AllSupported: true
           IncludeGlobalResourceTypes: {{GLOBAL_RESOURCE_RECORDING}}
           ResourceTypes: []
     CustomerCreatedConfigDeliveryChannel:
       Type: AWS::Config::DeliveryChannel
       Properties:
         Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
         ConfigSnapshotDeliveryProperties:
           DeliveryFrequency: TwentyFour_Hours
         S3BucketName: {{CONFIG_BUCKET}}
         S3KeyPrefix: {{ORGANIZATION_ID}}
         SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:{{AUDIT_ACCOUNT}}:aws-controltower-AllConfigNotifications
     CustomerCreatedAggregationAuthorization:
       Type: "AWS::Config::AggregationAuthorization"
       Properties:
         AuthorizedAccountId: {{AUDIT_ACCOUNT}}
         AuthorizedAwsRegion: {{HOME_REGION}}
   ```

**Perbarui template dengan bidang wajib:**

   1. Di BucketName bidang **S3**, ganti {{CONFIG\_BUCKET}}

   1. Di KeyPrefix bidang **S3**, ganti {{ORGANIZATION\_ID}}

   1. Di bidang **SnsTopicARN**, ganti {{AUDIT\_ACCOUNT}}

   1. Di **AuthorizedAccountId**lapangan, ganti {{AUDIT\_ACCOUNT}}

   1. Di **AuthorizedAwsRegion**lapangan, ganti {{HOME\_REGION}}

1. Selama penyebaran di CloudFormation konsol, tambahkan nomor akun anggota.

1. Tambahkan AWS Wilayah yang diidentifikasi pada Langkah 4.

1. Menyebarkan set tumpukan.

## Langkah 7: Daftarkan OU dengan AWS Control Tower
<a name="existing-config-step-7"></a>

Di dasbor AWS Control Tower, daftarkan OU.

**catatan**  
Alur kerja **akun Mendaftar** tidak akan berhasil untuk tugas ini. Anda harus memilih **Register OU** atau **Re-register OU**.