Inscrever contas que tenham recursos existentes AWS Config - AWS Control Tower
Etapa 1: entre em contato com o suporte para adicionar contas à lista de permissõesEtapa 2: crie um perfil do IAM na conta-membro.Etapa 3: identificar as AWS regiões com recursos pré-existentesEtapa 4: identificar as AWS regiões sem AWS Config recursosEtapa 5: Modificar os recursos existentes em cada AWS regiãoEtapa 5a. AWS Config recursos de gravadorEtapa 5b. Modifique os recursos do canal de AWS Config entregaEtapa 5c. Modificar AWS Config recursos de autorização de agregaçãoEtapa 6: crie recursos onde eles não existem, em regiões administradas pelo AWS Control TowerEtapa 7: registre a UO com o AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inscrever contas que tenham recursos existentes AWS Config

Este tópico fornece uma step-by-step abordagem sobre como inscrever contas que tenham AWS Config recursos existentes. Consulte exemplos de como verificar seus recursos existentes em Inscrever contas com recursos AWS Config.

Exemplos de AWS Config recursos

Aqui estão alguns tipos de AWS Config recursos que sua conta já pode ter. Esses recursos podem precisar ser modificados para que você possa inscrever sua conta no AWS Control Tower.

  • AWS Config gravador

  • AWS Config canal de entrega

  • AWS Config autorização de agregação

Limitações

  • A conta de inscrição com o recurso existente do AWS Config não é compatível com contas de gerenciamento ou contas de integração de serviços configuradas na landing zone.

  • A conta só pode ser registrada usando o fluxo de trabalho de registro ou novo registro da OU, que permite o. AWSControlTowerBaseline A conta não pode ser registrada ativando ou redefinindo o. ConfigBaseline

  • A conta com o recurso existente do AWS Config não é suportada pelo. Mova e registre contas com inscrição automática

  • Se os recursos forem modificados e criarem desvios na conta, o AWS Control Tower não atualizará os recursos.

  • AWS Config os recursos em regiões que não são governadas pelo AWS Control Tower não são alterados.

Suposições

  • Você implantou uma landing zone do AWS Control Tower.

  • Sua conta ainda não está inscrita no AWS Control Tower.

  • Sua conta tem pelo menos um AWS Config recurso preexistente em pelo menos uma das regiões governadas pelo AWS Control Tower.

  • Sua conta não está em desvio de governança.

nota

Se você tentar inscrever uma conta que tenha recursos do Config existentes, sem que a conta seja adicionada à lista de permissões, a inscrição falhará. Depois disso, se você tentar adicionar essa mesma conta à lista de permissões, o AWS Control Tower não poderá validar se a conta foi provisionada corretamente. Você deve cancelar o provisionamento da conta do AWS Control Tower antes de solicitar a lista de permissões e depois inscrevê-la. Se você mover a conta apenas para outra UO do AWS Control Tower, isso causará uma mudança na governança, o que também impede que a conta seja adicionada à lista de permissões.

Para um blog que descreve uma abordagem automatizada para cadastrar contas com AWS Config recursos existentes, consulte Automatizar a inscrição de contas com AWS Config recursos existentes no AWS Control Tower.

Esse processo tem cinco etapas principais.

  1. Adicione a (s) conta (s) à lista de permissões do AWS Control Tower.

  2. Crie um perfil do IAM na conta.

  3. Modifique os AWS Config recursos pré-existentes.

  4. Crie AWS Config recursos em AWS regiões onde eles não existem.

  5. Inscreva a conta no AWS Control Tower.

Antes de prosseguir, considere as expectativas a seguir em relação a esse processo.

  • O AWS Control Tower não cria nenhum AWS Config recurso nessa conta.

  • Após o cadastro, os controles do AWS Control Tower protegem automaticamente os AWS Config recursos que você criou, incluindo a nova função do IAM.

  • Se alguma alteração for feita nos AWS Config recursos após a inscrição, esses recursos devem ser atualizados para se alinharem às configurações do AWS Control Tower antes que você possa reinscrever a conta.

Etapa 1: entre em contato com o suporte para adicionar contas à lista de permissões

Inclua esta frase na linha de assunto do tíquete:

Inscreva contas que tenham AWS Config recursos existentes no AWS Control Tower

Inclua os seguintes detalhes no corpo do tíquete:

  • Número da conta de gerenciamento

  • Números de contas de membros que têm AWS Config recursos existentes. Você poderá criar um caso de suporte para todas as contas que deseja inscrever.

  • A região de origem selecionada para a configuração do AWS Control Tower

nota

O tempo necessário para adicionar a conta à lista de permissões é de dois dias úteis.

Etapa 2: crie um perfil do IAM na conta-membro.

  1. Abra o CloudFormation console da conta do membro.

  2. Criar uma pilha usando o modelo a seguir

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
    
Resources:
  CustomerCreatedConfigRecorderRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: aws-controltower-ConfigRecorderRole-customer-created
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
        - arn:aws:iam::aws:policy/ReadOnlyAccess

  3. Forneça o nome da pilha como CustomerCreatedConfigRecorderRoleForControlTower

  4. Crie a pilha.

nota

Qualquer um SCPs que você criar deve excluir uma aws-controltower-ConfigRecorderRole* função. Não modifique as permissões que restringem a capacidade AWS Config das regras de realizar avaliações.

Siga estas diretrizes para que você não receba um aviso AccessDeniedException quando tiver SCPs esse bloqueio aws-controltower-ConfigRecorderRole* de chamar o Config.

Etapa 3: identificar as AWS regiões com recursos pré-existentes

Para cada região governada (governada pelo AWS Control Tower) na conta, identifique e anote as regiões que têm pelo menos um dos tipos de exemplo de AWS Config recursos existentes mostrados anteriormente.

Etapa 4: identificar as AWS regiões sem AWS Config recursos

Para cada região governada (governada pela AWS Control Tower) na conta, identifique e anote as regiões nas quais não há AWS Config recursos dos tipos de exemplo mostrados anteriormente.

Etapa 5: Modificar os recursos existentes em cada AWS região

Para essa etapa, são necessárias as informações a seguir sobre a configuração do AWS Control Tower.

  • AUDIT_ACCOUNT- o ID da conta de integração do serviço AWS Config (anteriormente conhecida como conta de auditoria)

  • CONFIG_BUCKET- o bucket AWS S3 para o qual o AWS Config entrega instantâneos de configuração e arquivos de histórico de configuração. Localize e confirme se o bucket do AWS S3 existe antes de prosseguir com as próximas etapas.

    • Para a versão 3.3 ou inferior da landing zone, o bucket AWS S3 é nomeadoaws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION, localizado na conta Logging.

    • Para a versão 4.0 ou superior da landing zone, o bucket AWS S3 é nomeadoaws-controltower-config-logs-AUDIT_ACCOUNT-<REGION_STRING>-<SUFFIX_STRING>, localizado na conta de integração do serviço AWS Config (anteriormente conhecida como conta de auditoria).

  • IAM_ROLE_ARN- o ARN da função do IAM criado na Etapa 2

  • ORGANIZATION_ID: é o ID da conta de gerenciamento da organização

  • MEMBER_ACCOUNT_NUMBER: a conta-membro que está sendo modificada

  • HOME_REGION: a região de origem da configuração do AWS Control Tower.

Modifique cada recurso existente seguindo as instruções fornecidas nas seções de 5a a 5c, a seguir.

Etapa 5a. AWS Config recursos de gravador

Somente um AWS Config gravador pode existir por AWS região. Se houver, modifique as configurações conforme mostrado. Substitua o item GLOBAL_RESOURCE_RECORDING por verdadeiro em sua região de origem. Substitua o item por false para outras regiões onde existe um AWS Config gravador.

  • Nome: NÃO MUDE

  • RoleARN: IAM_ROLE_ARN

    • RecordingGroup:

    • AllSupported: verdadeiro

    • IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING

    • ResourceTypes: Vazio

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua RECORDER_NAME a string pelo nome do AWS Config gravador existente.


aws configservice put-configuration-recorder --configuration-recorder  name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION

Etapa 5b. Modifique os recursos do canal de AWS Config entrega

Somente um canal AWS Config de entrega pode existir por região. Se existir outro, modifique as configurações conforme exibido.

  • Nome: NÃO MUDE

  • ConfigSnapshotDeliveryProperties: TwentyFour _Horas

  • S3: BucketName CONFIG_BUCKET

  • S3: KeyPrefix ORGANIZATION_ID

  • SnsTopicARN: O ARN do tópico do SNS da conta de auditoria, com o seguinte formato:

    arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications

Essa modificação pode ser feita por meio da AWS CLI usando o comando a seguir. Substitua DELIVERY_CHANNEL_NAME a string pelo nome do AWS Config gravador existente.


aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=CONFIG_BUCKET,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION

Etapa 5c. Modificar AWS Config recursos de autorização de agregação

nota

Essa etapa não é necessária para a versão 4.0 ou superior do landing zone.

Podem existir várias autorizações de agregação por região. O AWS Control Tower exige uma autorização de agregação que especifique a conta de auditoria como a conta autorizada e tenha a região de origem do AWS Control Tower como a região autorizada. Se não existir, crie uma com as seguintes configurações:

  • AuthorizedAccountId: O ID da conta de auditoria

  • AuthorizedAwsRegion: A região de origem da configuração do AWS Control Tower

Essa modificação pode ser feita por meio da AWS CLI usando o seguinte comando:

aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION

Etapa 6: crie recursos onde eles não existem, em regiões administradas pelo AWS Control Tower

Revise o CloudFormation modelo para que, na sua região de origem, o IncludeGlobalResourcesTypesparâmetro tenha o valorGLOBAL_RESOURCE_RECORDING, conforme mostrado no exemplo a seguir. Atualize também os campos obrigatórios no modelo, conforme especificado nesta seção.

Substitua o item GLOBAL_RESOURCE_RECORDING por verdadeiro em sua região de origem. Substitua o item por false para outras regiões onde não existe um AWS Config gravador.

  1. Navegue até o CloudFormation console da conta de gerenciamento.

  2. Crie um novo StackSet com o nome CustomerCreatedConfigResourcesForControlTower.

  3. Copie e atualize o seguinte modelo:

    nota

    O CustomerCreatedAggregationAuthorization recurso no modelo não é necessário para a versão 4.0 ou superior do landing zone.

    AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
  CustomerCreatedConfigRecorder:
    Type: AWS::Config::ConfigurationRecorder
    Properties:
      Name: aws-controltower-BaselineConfigRecorder-customer-created
      RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
      RecordingGroup:
        AllSupported: true
        IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
        ResourceTypes: []
  CustomerCreatedConfigDeliveryChannel:
    Type: AWS::Config::DeliveryChannel
    Properties:
      Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
      ConfigSnapshotDeliveryProperties:
        DeliveryFrequency: TwentyFour_Hours
      S3BucketName: CONFIG_BUCKET
      S3KeyPrefix: ORGANIZATION_ID
      SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
  CustomerCreatedAggregationAuthorization:
    Type: "AWS::Config::AggregationAuthorization"
    Properties:
      AuthorizedAccountId: AUDIT_ACCOUNT
      AuthorizedAwsRegion: HOME_REGION
    Atualize o modelo com os campos obrigatórios:

    1. No BucketName campo S3, substitua o CONFIG_BUCKET

    2. No KeyPrefix campo S3, substitua o ORGANIZATION_ID

    3. No campo SnsTopicARN, substitua o AUDIT_ACCOUNT

    4. No AuthorizedAccountIdcampo, substitua o AUDIT_ACCOUNT

    5. No AuthorizedAwsRegioncampo, substitua o HOME_REGION

  4. Durante a implantação no CloudFormation console, adicione o número da conta do membro.

  5. Adicione as AWS regiões que foram identificadas na Etapa 4.

  6. Implante o conjunto de pilhas.

Etapa 7: registre a UO com o AWS Control Tower

No painel do AWS Control Tower, registre a UO.

nota

O fluxo de trabalho Inscrever conta não será bem-sucedido para essa tarefa. Você deve escolher Registrar UO ou Registrar OU novamente.