註冊現有的 AWS 帳戶 - AWS Control Tower
帳戶註冊期間會發生什麼情況使用 VPCs 註冊現有帳戶資源狀態的 AWS Config CLI 命令範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊現有的 AWS 帳戶

當您將 AWS Control Tower 註冊到已受 AWS Control Tower 管理的組織單位 (OU) AWS 帳戶 時,您可以將 AWS Control Tower 管控擴展到現有的個人。合格帳戶存在於與 AWS Control Tower OUs 屬於相同 AWS Organizations 組織的未註冊 OU 中。

注意

除非在初始登陸區域設定期間,否則您無法註冊現有帳戶做為稽核或日誌封存帳戶。

先設定受信任的存取

在將現有的 註冊 AWS 帳戶 到 AWS Control Tower 之前,您必須授予 AWS Control Tower 管理或控管帳戶的許可。具體而言,AWS Control Tower 需要許可,才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立受信任的存取,以便 AWS CloudFormation 可以自動將堆疊部署到所選組織中的帳戶。透過此受信任的存取,AWSControlTowerExecution角色會執行管理每個帳戶所需的活動。因此,您必須先將此角色新增至每個帳戶,才能註冊。

啟用受信任存取時, AWS CloudFormation 可以透過 AWS 區域 單一操作跨多個帳戶建立、更新或刪除堆疊。AWS Control Tower 依賴此信任功能,因此在將角色和許可移至已註冊的組織單位之前,可以先將角色和許可套用至現有帳戶,進而使其受到控管。

若要進一步了解受信任存取和 AWS CloudFormation StackSets,請參閱 AWS CloudFormationStackSets和 AWS Organizations

帳戶註冊期間會發生什麼情況

在註冊過程中,AWS Control Tower 會執行這些動作:

  • 確立帳戶的基準,其中包括部署這些堆疊集:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    檢閱這些堆疊集的範本,並確定它們與您現有的政策沒有衝突是個不錯的主意。

  • 透過 AWS IAM Identity Center 或 識別帳戶 AWS Organizations。

  • 將帳戶放入您指定的 OU 中。請務必套用目前 OU 中套用的所有 SCP,使您的安全狀態能夠保持一致。

  • 透過套用至整個所選 OU SCPs,將強制性控制套用至帳戶。

  • 啟用 AWS Config 並設定它以記錄帳戶中的所有資源。

  • 新增將 AWS Control Tower 偵測控制項套用至帳戶的 AWS Config 規則。

帳戶和組織層級 CloudTrail 追蹤

OU 中的所有成員帳戶都受 OU 的 AWS CloudTrail 線索管理,無論是否已註冊:

  • 當您在 AWS Control Tower 中註冊帳戶時,您的帳戶會受到新組織的 AWS CloudTrail 追蹤管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。

  • 如果您將帳戶移至已註冊的 OU,例如透過 AWS Organizations 主控台,而且您未繼續將帳戶註冊到 AWS Control Tower,您可能想要移除該帳戶的任何剩餘帳戶層級追蹤。如果您有現有的 CloudTrail 追蹤部署,則會產生重複的 CloudTrail 費用。

如果您更新登陸區域並選擇退出組織層級追蹤,或者您的登陸區域比 3.0 版舊,則組織層級 CloudTrail 追蹤不適用於您的帳戶。

使用 VPCs 註冊現有帳戶

當您在 Account Factory 中佈建新帳戶時,與註冊現有帳戶時,AWS Control Tower 處理 VPCs 的方式不同。

  • 當您建立新帳戶時,AWS Control Tower 會自動移除 AWS 預設 VPC,並為該帳戶建立新的 VPC。

  • 當您註冊現有帳戶時,AWS Control Tower 不會為該帳戶建立新的 VPC。

  • 當您註冊現有帳戶時,AWS Control Tower 不會移除與該帳戶相關聯的任何現有 VPC 或 AWS 預設 VPC。

提示

您可以設定 Account Factory 來變更新帳戶的預設行為,因此預設不會在 AWS Control Tower 下為組織中的帳戶設定 VPC。如需詳細資訊,請參閱在 AWS Control Tower 中建立沒有 VPC 的帳戶

資源狀態的 AWS Config CLI 命令範例

以下是一些範例 AWS Config CLI 命令,您可以用來判斷組態記錄器和交付管道的狀態。

檢視命令:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

正常回應類似 "name": "default"

刪除命令:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

下列 YAML 範本可協助您在帳戶中建立所需的角色,以便以程式設計方式註冊。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess