AWS Control Tower Enable 하기(3)

🕰️ 작성일 : 2024.06.30

1. 기존 Config의 Delivery 구성을 Log/Audit 계정으로 변경하도록 설정함.

Untitled

2. Control Tower에는 아직 계정(‘992382835345’)을 Control Tower에 Enroll하지 않음.

Untitled

3. Control Tower Log 계정에서 ‘992382835345’ 계정에 대한 Config 로그를 정상적으로 수신

ConfigWritabilityCheckFile 확인

Untitled

‘992382835345’ 계정에서 ****AWS CLI을 통해 Delivery channel 상태 확인

[cloudshell-user@ip-10-6-69-212 ~]$ aws configservice describe-delivery-channel-status
{
    "DeliveryChannelsStatus": [
        {
            "name": "default",
            "configSnapshotDeliveryInfo": {
                "lastStatus": "SUCCESS",
                "lastAttemptTime": "2024-06-27T14:04:52.992000+00:00",
                "lastSuccessfulTime": "2024-06-27T14:04:52.992000+00:00",
                "nextDeliveryTime": "2024-06-28T14:04:52.060000+00:00"
            },
            "configHistoryDeliveryInfo": {
                "lastStatus": "SUCCESS",
                "lastAttemptTime": "2024-06-27T13:52:16.076000+00:00",
                "lastSuccessfulTime": "2024-06-27T13:52:16.076000+00:00"
            },
            "configStreamDeliveryInfo": {
                "lastStatus": "SUCCESS",
                "lastStatusChangeTime": "2024-06-27T15:14:00.694000+00:00"
            }
        }
    ]
}

4. Log Account의 S3 버킷 정책을 확인

        {
            "Sid": "AWSBucketDeliveryForConfig",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-controltower-logs-767397798807-ap-northeast-2/o-jhh2xc1s8l/AWSLogs/*/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceOrgID": "o-jhh2xc1s8l"
                }
            }
        },

5. Audit Account의 SNS 토픽 정책 확인

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "AWSSNSPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "cloudtrail.amazonaws.com",
          "config.amazonaws.com"
        ]
      },
      "Action": "sns:Publish",
      "Resource": "arn:aws:sns:ap-northeast-2:654654264837:aws-controltower-AllConfigNotifications",
      "Condition": {
        "StringEquals": {
          "aws:SourceOrgID": "o-jhh2xc1s8l"
        }
      }
    }
  ]

Config를 사용하는 기존 계정 등록 완료

1. 계정 등록시 유의 사항

AWS Document에 정리된 대로 7단계 계정 등록이 아닌 OU 등록으로 Control Tower에 Enroll 해야 함. 계정 등록으로 진행 할 경우 에러가 발생

2. 결과

Control Tower에서 확인