關於註冊現有帳戶 - AWS Control Tower
帳戶註冊期間會發生什麼情況使用 VPCs 註冊現有帳戶使用 AWS Config 資源註冊帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

關於註冊現有帳戶

當您將 AWS Control Tower 註冊到已受 AWS Control Tower 管理的組織單位 (OU) AWS 帳戶 時,您可以將 AWS Control Tower 管控擴展到現有的個人。合格帳戶存在於與 AWS Control Tower OUs 屬於相同 AWS Organizations 組織的未註冊 OU 中。

有數種方法可將帳戶註冊到 AWS Control Tower。此頁面上的資訊適用於所有註冊方法。

注意

除非在初始登陸區域設定期間,否則您無法註冊現有 AWS 帳戶做為稽核或日誌封存帳戶。

帳戶註冊期間會發生什麼情況

在註冊過程中,AWS Control Tower 會執行這些動作:

  • 確立帳戶的基準,其中包括部署這些堆疊集:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    檢閱這些堆疊集的範本,並確定它們與您現有的政策沒有衝突是個不錯的主意。

  • 透過 AWS IAM Identity Center 或 識別帳戶 AWS Organizations。

  • 將帳戶放入您指定的 OU 中。請務必套用目前 OU 中套用的所有 SCP,使您的安全狀態能夠保持一致。

  • 透過套用至整個所選 OU SCPs,將強制性控制套用至帳戶。

  • 啟用 AWS Config 並設定它以記錄帳戶中的所有資源。

  • 新增將 AWS Control Tower 偵測控制套用至帳戶的 AWS Config 規則。

帳戶和組織層級 CloudTrail 追蹤

對於登陸區域 3.1 版和更新版本,如果您已在登陸區域設定中選擇了選用 AWS CloudTrail 整合:

  • OU 中的所有成員帳戶都受 OU 的 AWS CloudTrail 線索管理,無論是否已註冊。

  • 當您在 AWS Control Tower 中註冊帳戶時,您的帳戶會受到新組織的 AWS CloudTrail 追蹤管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。

  • 如果您將帳戶移至已註冊的 OU,例如透過 AWS Organizations 主控台或 APIs,您可能想要移除帳戶的任何剩餘帳戶層級追蹤。如果您有現有的 CloudTrail 追蹤部署,則會產生重複的 CloudTrail 費用。

如果您更新登陸區域並選擇退出組織層級追蹤,或您的登陸區域比 3.0 版舊,則組織層級 CloudTrail 追蹤不適用於您的帳戶。

使用 VPCs 註冊現有帳戶

當您在 Account Factory 中佈建新帳戶時,AWS Control Tower 處理 VPCs 的方式與註冊現有帳戶時不同。

  • 當您建立新帳戶時,AWS Control Tower 會自動移除 AWS 預設 VPC,並為該帳戶建立新的 VPC。

  • 當您註冊現有帳戶時,AWS Control Tower 不會為該帳戶建立新的 VPC。

  • 當您註冊現有帳戶時,AWS Control Tower 不會移除與該帳戶相關聯的任何現有 VPC 或 AWS 預設 VPC。

提示

您可以設定 Account Factory 來變更新帳戶的預設行為,因此預設不會在 AWS Control Tower 下為組織中的帳戶設定 VPC。如需詳細資訊,請參閱在 AWS Control Tower 中建立沒有 VPC 的帳戶

使用 AWS Config 資源註冊帳戶

要註冊的帳戶不得有現有 AWS Config 資源。請參閱註冊具有現有 AWS Config 資源的帳戶

以下是一些範例 AWS Config CLI 命令,您可以用來判斷現有帳戶 AWS Config 資源的狀態,例如組態記錄器和交付管道。

檢視命令:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

正常回應類似 "name": "default"

刪除命令:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

新增AWSControlTowerExecution角色的範例

下列 YAML 範本可協助您在帳戶中建立所需的角色,以便以程式設計方式註冊。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess