问题标签 [aws-control-tower]

I am currently struggling regarding the following:

SETUP: I have an AWS Control Tower including Customisation for Control Tower (i.e. a Code Pipeline etc...). The Code Pipeline is connected to an external GitHub Repo.

CURRENT SITUATION: If I want to create a new product used by an SSO User or an Organization, I have to go to the console and create that product in Service Catalog (uploading a Cloud Formation Template).

GOAL: I want to upload a file (CFT / CDK or whatever) to the external Repo. The Code Pipeline gets triggered (this works already) and the pipeline pushes the desired product to Service Catalog.

I googled like hours but I did not really find something helpful.

我正在尝试为我的 AWS 组织创建 AWS Control Tower 登录区，并收到一条消息，提示You must unsubscribe your organization from AWS CloudTrail so that AWS Control Tower can proceed. During the setup process, AWS Control Tower creates a new trail in the audit account that's part of your landing zone.我该怎么做？这是否意味着停止所有 CloudTrail 跟踪发送日志，或者是否有一个组织范围的设置要禁用？

我使用 AWS Control Tower 和 Organizations 来创建三个不同的环境（开发、测试和生产）账户。出于某种原因，它对三个帐户中的两个非常有效。我的测试帐户未显示在“服务目录”>“预配产品”下。我可以在那里看到我的另外两个帐户。

在“AWS Control Tower”>“帐户”下，该帐户有错误消息：“注册失败”。

我的问题是因为我在“服务目录”下看不到该帐户，我也无法删除它并重试。

如何撤消此操作以重新开始？

我正在使用 AWS Control Tower 设置多账户 AWS Landscape - 主要是 Root --> Core-->Audit、Archive Root --> Custom --> Network、Security、QA 和 Prod 管理账户。

我能够成功设置审核、存档、网络和安全帐户，但是，QA 和产品注册帐户失败，原因如下。我按照相同的步骤设置网络、安全、QA 和 Prod 帐户。

质量检查帐户错误：

AWS Control Tower 无法注册您的账户，原因如下：AWS Control Tower 设置失败。确保您的账户订阅了 AWS EC2 服务，然后重试。如果此错误仍然存​​在，请联系 AWS Support。

产品帐户错误：

AWS Control Tower 无法注册您的账户，原因如下：AWS Control Tower 检测到您注册的账户已移至新的组织单位。该帐户处于不一致的状态，您可能会产生意外费用。要继续，请终止 AWS Service Catalog 中的账户并重新注册。如果不打算移动，请将账户返回到其原始 OU 并从 AWS Service Catalog 更新账户。

我曾经有一个 OU 让我们使用帐户 prod 和 ss 调用 x，然后我创建了一个新的 OU 让 y 将其称为 y。

现在我正在尝试将 prod 和 ss 从 OU x 移动到 OU y。然而，这一直失败。当我尝试重新注册 OU y 以确定这是否会解决它时，我收到以下错误：

在某个时候，我下载了包含以下信息的预检查表：

我去了服务目录并将自己添加为 IAM 用户，但问题仍然存在。我怎样才能解决这个问题？

我在 ca-central-1 区域部署了控制塔，并通过专用管理员帐户启用了安全中心和 aws config（默认情况下通过控制塔提供审计帐户）。

然后我启用了以下安全标准：

• PCI DSS v3.2.1
• 独联体 AWS 基础基准 v1.2.0
• AWS 基础安全最佳实践 v1.0.0

对于 AWS Config，我部署了以下一致性包：

• NIST CSF 的操作最佳实践
• CIS AWS Foundations Benchmark v1.3 级别 1 的运营最佳实践
• CIS AWS Foundations Benchmark v1.3 Level 2 的运营最佳实践
• AWS 架构完善的框架安全支柱的运营最佳实践

在启用这些安全中心标准和配置一致性包后，我在各自的资源上发现了以下发现和违规行为：

• s3-bucket-logging-enabled（控制塔默认创建的存储桶：aws-controltower-s3-access-logs-ca-central-1）
• s3-bucket-default-lock-enabled（控制塔默认创建的存储桶：aws-controltower-s3-access-logs-ca-central-1 & aws-controltower-s3-logs-ca-central-1）
• Lambda 函数应该在 VPC 中（控制塔默认创建的 lambda：aws-controltower-NotificationForwarder）
• Lambda 函数应配置死信队列（控制塔默认创建的 lambda：aws-controltower-NotificationForwarder）

为了摆脱这些违规行为，我需要以某种方式进行补救或抑制/删除这些发现。请记住，由于严格的 SCP 会阻止对上述资源及其配置进行更改，因此修复可能会很困难且令人讨厌。为了能够补救，您必须删除 SCP，将您的控制塔置于漂移状态，进行必要的更改，然后修复控制塔。您可以看到为什么这不是一个好主意。

从合规性的角度来看，是否可以压制或删除这些发现/违规行为？

在 Control Tower 中安装 Landing Zone 时，需要为 3 个 AWS 账户、主账户、审计账户和日志记录账户输入三种类型的电子邮件地址。不知何故，我设法把它搞砸了，我放了一封不存在的电子邮件，用于创建审计帐户。我应该停用登陆区还是可以更改帐户的电子邮件地址？

PS：由于在输入电子邮件地址时会自动创建帐户，因此它会自动创建帐户。它是用一个不存在的电子邮件地址创建的，所以我第一次不能唱歌。

我想将在 aws 组织中创建的 2 个 aws 帐户注册到根帐户 2 中控制塔创建的组织单元中，例如根帐户 1。

这里的主要问题是这两个 root 帐户是完全不同的帐户，并且它们没有以任何方式相互关联。

我们已经应用了这篇文章中提到的护栏，AWS 预防性 S3 护栏。1 . 不幸的是，我们没有得到预期的结果。我们对 Amazon S3 存储桶2的加密配置应用了不允许更改。

SCP 对 s3:PutEncryptionConfiguration 有一个拒绝，条件是 arn:aws:iam::*:role/AWSControlTowerExecution 角色除外。

问题是任何人都可以创建 S3 存储桶，这是可以接受的。但是，当在控制台或通过 CloudFormation 创建存储桶并尝试指定加密 SSE 或 KMS 时，会生成错误并且创建的存储桶没有加密。

理想情况下，我们需要让任何人都能够创建 S3 存储桶并启用加密。我们希望这个 SCP 能做的是防止在应用到存储桶后删除加密。

我们预计文章中提到的其他护栏会出现类似问题：

禁止更改所有 Amazon S3 存储桶的加密配置 [以前：为日志存档启用静态加密] 禁止更改所有 Amazon S3 存储桶的日志配置 [以前：为日志存档启用访问日志] 禁止更改所有 Amazon S3 的存储桶策略存储桶 [以前：禁止对日志存档进行策略更改] 禁止更改所有 Amazon S3 存储桶的生命周期配置 [以前：为日志存档设置保留策略]

有没有人遇到过这个问题？实现允许使用所需的加密、日志记录、存储桶策略和生命周期创建存储桶并在创建存储桶后禁止删除或更改的最佳实施方式是什么？

目前，我在另一个账户中有一堆 IAM 用户（未绑定到 AWS SSO）。

我最近开始使用 AWS-SSO 来管理多个账户和用户。我发现它非常有效且易于管理。

问：如何将用户从另一个 AWS 账户移动/迁移到我当前账户中的 AWS SSO？

我找到了一些关于如何将账户移动到组织单位 (OU) 的资源，但我在 AWS SSO 账户中看不到任何本地用户。