关于注册现有账户 - AWS Control Tower
在账户注册期间发生的情况使用注册现有账户 VPCs使用AWS Config资源注册账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于注册现有账户

您可以将 AWS Control Tower 的监管范围扩展到个人,AWS 账户当您将个人注册到已经由 AWS Control Tower 管理的组织单位 (OU) 时,该组织就存在了。符合条件的账户存在于与 AWS Control Tower OU 属于同一个AWS Organizations组织的未注册 OUs 账户。

有几种方法可以将账户注册到 AWS Control Tower。此页面上的信息适用于所有注册方法。

注意

除非在初始 land AWS ing zone 设置期间,否则您无法注册现有账户作为审核或日志存档账户。

在账户注册期间发生的情况

在注册过程中,AWS Control Tower 会执行以下操作:

  • 为账户设定基准,包括部署以下堆栈集:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    最好查看这些堆栈集的模板,并确保它们不会与现有策略冲突。

  • 通过AWS IAM Identity Center或识别账户AWS Organizations。

  • 将账户放入您指定的 OU 中。请务必应用当前 OU 中应用的所有 SCPs 内容,这样您的安全状况才能保持一致。

  • 通过适用于整个选定组织单位 SCPs 的强制控制措施对账户应用强制性控制。

  • 启用AWS Config并配置它以记录账户中的所有资源。

  • 添加将 AWS Control Tower 侦探控件应用于账户的AWS Config规则。

账户和组织级跟踪 CloudTrail

对于登录区 3.1 及更高版本,如果您在登录区设置中选择了可选AWS CloudTrail集成:

  • 无论是否注册,OU 中的所有成员账户都受该 OU 的AWS CloudTrail跟踪控制。

  • 当您将账户注册到 AWS Control Tower 时,您的账户将受新组织的AWS CloudTrail跟踪监管。如果您已经部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。

  • 如果您将账户转移到已注册的 OU(例如通过AWS Organizations控制台或 APIs),则可能希望删除该账户的所有剩余账户级别跟踪。如果您已经部署了 CloudTrail 跟踪,则会产生重复的 CloudTrail 费用。

如果您更新了着陆区并选择退出组织级别的跟踪,或者您的着陆区版本低于 3.0,则组织级别的 CloudTrail跟踪不适用于您的帐户。

使用注册现有账户 VPCs

当您在 Account Factory 中配置新账户时,AWS Control Tower 的处理 VPCs 方式与注册现有账户时的处理方式不同。

  • 创建新账户时,AWS Control Tower 会自动删除AWS默认 VPC 并为该账户创建新的 VPC。

  • 注册现有账户时,AWS Control Tower 不会为该账户创建新 VPC。

  • 当您注册现有账户时,AWS Control Tower 不会删除与该账户关联的任何现有 VPC 或AWS默认 VPC。

提示

您可以通过配置 Account Factory 来更改新账户的默认行为,以便在默认情况下,它不会在 AWS Control Tower 下为组织中的账户设置 VPC。有关更多信息,请参阅 在 AWS Control Tower 中创建一个不含 VPC 的账户

使用AWS Config资源注册账户

要注册的账户不得有现有AWS Config资源。请参阅注册拥有现有AWS Config资源的账户

以下是一些用于确定现有账户AWS Config资源的状态的AWS Config CLI 命令示例,例如配置记录器和交付渠道。

查看命令:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

正常的响应类似于 "name": "default"

删除命令:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

添加 AWSControlTowerExecution 角色的示例

以下 YAML 模板可以帮助您在账户中创建所需的角色,以便可以通过编程方式进行注册。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess