Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Informazioni sulla registrazione di account esistenti
Puoi estendere la governance di AWS Control Tower a un individuo esistente Account AWS quando lo registri in un'unità organizzativa (OU) già governata da AWS Control Tower. Esistono account idonei non registrati OUs che fanno parte della stessa AWS Organizations organizzazione dell'unità organizzativa AWS Control Tower.
Esistono diversi metodi per registrare gli account in AWS Control Tower. Le informazioni contenute in questa pagina si applicano a tutti i metodi di registrazione.
Nota
Non puoi registrare un AWS account esistente come account di controllo o di archiviazione dei log tranne durante la configurazione iniziale della landing zone.
Cosa succede durante la registrazione dell'account
Durante il processo di registrazione, AWS Control Tower esegue le seguenti azioni:
-
Baseline dell'account, che include la distribuzione di questi set di stack:
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL -
AWSControlTowerBP-BASELINE-CLOUDWATCH -
AWSControlTowerBP-BASELINE-CONFIG -
AWSControlTowerBP-BASELINE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES -
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
Ti consigliamo di rivedere i modelli di questi set di stack e assicurarti che non siano in conflitto con le policy esistenti.
-
-
Identifica l'account tramite o. AWS IAM Identity Center AWS Organizations
-
Inserisce l'account nell'unità organizzativa specificata. Assicurati di applicare tutto ciò SCPs che viene applicato nell'unità organizzativa corrente, in modo che il tuo livello di sicurezza rimanga coerente.
-
Applica i controlli obbligatori all'account mediante quelli SCPs che si applicano all'unità organizzativa selezionata nel suo complesso.
-
Lo abilita AWS Config e lo configura per registrare tutte le risorse dell'account.
-
Aggiunge le AWS Config regole che applicano i controlli investigativi di AWS Control Tower all'account.
Account e percorsi a livello di organizzazione CloudTrail
Per le versioni 3.1 e successive della landing zone, se hai selezionato l' AWS CloudTrail integrazione opzionale nelle impostazioni della landing zone:
-
Tutti gli account dei membri di un'unità organizzativa sono regolati dal AWS CloudTrail percorso dell'unità organizzativa, a prescindere dal fatto che siano registrati o meno.
-
Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso della nuova organizzazione. Se disponi già di una distribuzione di un CloudTrail trail, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.
-
Se sposti un account in un'unità organizzativa registrata, ad esempio tramite la AWS Organizations console oppure, APIs potresti voler rimuovere eventuali percorsi a livello di account rimanenti relativi all'account. Se disponi già di un'implementazione di un CloudTrail trail, dovrai sostenere addebiti doppi. CloudTrail
Se aggiorni la landing zone e scegli di disattivare i trail a livello di organizzazione, o se la tua landing zone è precedente alla versione 3.0, i CloudTrail percorsi a livello di organizzazione non si applicano ai tuoi account.
Registra gli account esistenti con VPCs
AWS Control Tower si comporta VPCs in modo diverso quando si effettua il provisioning di un nuovo account in Account Factory rispetto a quando si registra un account esistente.
-
Quando crei un nuovo account, AWS Control Tower rimuove automaticamente il VPC AWS predefinito e crea un nuovo VPC per quell'account.
-
Quando registri un account esistente, AWS Control Tower non crea un nuovo VPC per quell'account.
-
Quando registri un account esistente, AWS Control Tower non rimuove alcun VPC esistente o VPC AWS predefinito associato all'account.
Suggerimento
Puoi modificare il comportamento predefinito per i nuovi account configurando Account Factory, in modo che non configuri un VPC di default per gli account della tua organizzazione in AWS Control Tower. Per ulteriori informazioni, consulta Crea un account in AWS Control Tower senza un VPC.
Registra account con risorse AWS Config
L'account da registrare non deve disporre di risorse esistenti AWS Config . Vedi Registrare account che dispongono di risorse esistenti AWS Config.
Ecco alcuni esempi di comandi AWS Config CLI che puoi utilizzare per determinare lo stato delle AWS Config risorse del tuo account esistente, come il registratore di configurazione e il canale di distribuzione.
Comandi di visualizzazione:
-
aws configservice describe-delivery-channels -
aws configservice describe-delivery-channel-status -
aws configservice describe-configuration-recorders
La risposta normale è qualcosa del genere "name": "default"
Elimina comandi:
-
aws configservice stop-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-delivery-channel --delivery-channel-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT
Esempio di aggiunta del ruolo AWSControlTowerExecution
Il seguente modello YAML può aiutarti a creare il ruolo richiesto in un account, in modo che possa essere registrato a livello di codice.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
