Para muchas empresas, su viaje en AWS comienza con la AWS Landing Zone y Control Tower.
En algunos escenarios puede ser necesario fusionar múltiples Control Tower-managed LZs, por ejemplo:
- Varios departamentos de la empresa han comenzado a crear LZs de forma independiente y ahora hay múltiples LZs dentro de una misma compañía.
- Una empresa ha adquirido otro negocio, y ambas organizaciones tienen Control Tower-managed LZ en AWS.
- Una empresa ha ejecutado una PoC en una LZ independiente, y esa PoC ha evolucionado hasta convertirse en un sistema de producción.
No hay documentación, ni construcción gráfica del usuario, en el tablero de mandos que se encuentra en la Control Tower para migrar una cuenta. El flujo de trabajo para migrar una implementación de una Control Tower de una cuenta a otra es difícil. Peor aún, un error en la ejecución del proceso -que no está documentado- puede conducir a errores adicionales al inscribir una nueva cuenta.
Para ahorrar tiempo y evitar el problema de intentar realizar esta tarea no trivial por prueba y error, compartiremos un método que hemos utilizado con éxito para nuestros clientes para migrar cuentas de una Control Tower LZ a otra en seis simples pasos, que podrá encontrar a continuación.
Debe tener en cuenta que, a nuestro entender, actualmente no es posible migrar una cuenta principal como subcuenta de una segunda cuenta principal.
En primer lugar, definamos algunos términos y condiciones simples:
Cuenta inicial
Cuenta: A-0
Control Tower y Landing Zone: A-0/CT-0
Organización: A-0/ORG-0
Final Cuenta
Cuenta: B-0
Control Tower y Landing Zone: B-0/CT-0
Organización: B-0/Org-0 (Org B)
- La primera suposición es que usted está iniciando sesión como administrador (arn:aws:iam::aws:policy/AdministratorAccess)
- La segunda suposición es que tiene un plan de soporte mínimo de "desarrollador".
Paso 1. Dejar una organización AWS B-0/ORG-0
El primer paso es que la cuenta abandone la organización de origen. Hay dos maneras de lograr esto:
- Inicie sesión en la cuenta B-1 en cuestión, vaya a las Organizaciones de AWS y haga clic en “Leave”.
- Inicie sesión en la cuenta principal B-0, vaya a la Organización AWS, seleccione la cuenta que se está moviendo y haga clic en "Delete".
Antes de que una cuenta pueda salir de una organización, debe considerar que la cuenta está siendo efectivamente dejada a la deriva desde el punto de vista de la facturación. En este sentido, los pasos de registro previos deben ser completados como si estuviera configurando una nueva cuenta con AWS:
- Proporcionar información de contacto
- Aceptar el Acuerdo de Cliente de AWS
- Brindar un método de pago válido
- Verificar el número de teléfono
- Seleccionar una opción de plan de soporte
Si la cuenta que va a migrar no se creó originalmente mediante Control Tower, ese proceso simplificado no requiere que el propietario de la cuenta complete estos pasos de registro. Por lo tanto, para las cuentas creadas con Control Tower, la opción nº 2 no funcionará. Nuestra única opción es la nº 1 (vea la imagen anterior).
Después de hacer clic en "Leave", AWS le pedirá que complete los pasos de registro. El proceso se describe claramente en este documneto.
Paso 1.1 (Opcional) Reparación de la Control Tower B-0/CT-0
En la mayoría de los casos, se asume que la intención es mantener B-0 y la Control Tower dentro de ella. Si está planeando abandonar la cuenta B-0 por completo, entonces omita este paso.
La Control Tower sólo debe ser reparada una vez que todas las cuentas hayan sido movidas y migradas. Después de eliminar las cuentas, la Control Tower entra en un estado de "deriva" porque no puede encontrar algunas de sus cuentas. Por lo tanto, actúe sobre todas las cuentas que pretenda eliminar de las Organizaciones antes de hacer la reparación o deberá repetir el proceso de reparación.
Para solucionarlo, vaya a Control Tower -> Settings, seleccione la última versión y luego haga clic en el botón "Repair".
Esto devuelve automáticamente a la Control Tower a su estado normal y en el plazo de una hora elimina las cuentas que faltan en su tablero.
Paso 2. Depuración de la cuenta
En esta etapa, la cuenta que se está migrando ya no pertenece a ninguna Organización AWS, pero todavía tiene algunos recursos creados por CT A. Esto puede dar lugar a errores al intentar inscribir la cuenta en CT B, y por lo tanto deben ser eliminados. Estos recursos incluyen Roles creados por la Control Tower, AWS Config y grupos de CloudWatch Log creados por la Control Tower.
Todos ellos son creados por CloudFormation stacks y pueden ser eliminados quitando las pilas correspondientes.
Todas las pilas pueden ser eliminadas fácilmente con el siguiente patrón de nombre: StackSet-AWSControlTower*, EXCEPTO LA VPC ACCOUNT FACTORY. . En la mayoría de los casos, la VPC contiene cargas de trabajo, por lo que sólo debe eliminarse si no hay recursos en la VPC. A-0/CT-0 aceptará una VPC existente sin problemas y no creará una nueva.
Paso 3. Configurar los permisos de confianza en la nueva Master Account - A-0/CT-0
Para conceder permisos a A-0/CT-0 a fin de realizar cambios en la cuenta, deberá crear un rol con permisos de confianza. Este rol ya ha sido creado por A-0/CT-0, que sigue teniendo permiso para hacer cualquier cosa en la cuenta. Todo lo que tenemos que hacer ahora es cambiar el ID de la cuenta de confianza en este rol IAM por el ID de la Master Account (o Cuenta Maestra en español) de A-0.
Paso 4. Preparación de la Organización B
Antes de poder añadir la cuenta a A-0/CT-0, necesitamos preparar A-0/Org-0. Inicie sesión en la cuenta principal de A-0, vaya a “AWS Organizations” -> “Settings”, y habilite los permisos de confianza para “AWS CloudFormation StackSets”. Debe estar habilitado para permitir el aprovisionamiento de la cuenta existente (si no lo está, el aprovisionamiento fallará).
Paso 5. Invitar a la cuenta a A-0/Org-0
Ahora, A-0/Org-0 debe ser invitado a unirse. Y la cuenta debe aceptar la invitación. Estos simples pasos están perfectamente descritos aquí.
Paso 6. Aprovisionamiento de la cuenta en A-0/CT-0
La cuenta está ahora en la Org B, pero la Control Tower B no sabe nada de ella y no la controla. El último paso es aprovisionar la cuenta.
Inicie sesión en la cuenta principal B, vaya a la Control Tower -> “Account Factory” y haga clic en “Enroll Account”. Tendrá que rellenar el formulario de inscripción como siempre y utilizar el correo electrónico de la cuenta existente de su organización. La cuenta se inscribirá según el proceso normal, con los “guardrails”, la configuración de AWS y otros elementos creados por la Control Tower B. La VPC, si existe, no se verá afectada.
Su cuenta ahora ha sido migrada con éxito y está bajo el control de A-0.
Fusión de las Control Towers
Si el objetivo es fusionar completamente dos Control Towers LZs, entonces recomendamos migrar todas las cuentas una por una, excepto las cuentas de Log Archive, Audit y Master. La Control Tower B tiene sus propias cuentas de Auditoría y Archivo de Registros.
Los registros de la Cuenta de Archivo de Registros A pueden trasladarse al bucket de la Cuenta de Archivo de Registros B compartiendo los buckets entre las cuentas y utilizando el comando "aws s3 sync" de la CLI de AWS. Puede encontrar la descripción de los buckets compartidos aquí.
A su vez, puede leer sobre la utilidad de S3 sync aquí.
Desmantelamiento de una Control Tower B-0/CT-0
Para dar de baja la Control Tower B-0/CT-0, debe elevar un ticket a través de AWS Support. AWS Support requerirá el ID de la Master Account y una razón clara para el desmantelamiento de B-0/CT-0, así que asegúrese de que esos detalles se brinden en el ticket.
Una vez que este proceso siga su curso, verá que aparecerá el botón "Decommission Landing Zone" en la Control Tower. Este proceso suele tardar aproximadamente una semana. Una vez que el botón esté ahí, vaya a la Control Tower -> “Settings” y siga los pasos del proceso de desmantelamiento.
Una vez que la Control Tower ha sido dada de baja, todas sus cuentas (Auditoría, Master, Archivo de Registros) pueden ser eliminadas de la organización, y la misma puede ser cerrada.
La nueva estructura tiene un aspecto como este:
Este es el proceso para migrar una cuenta de AWS de una Control Tower LZ a otra. Como puede ver, el proceso es bastante sencillo y no requiere ninguna automatización complicada ni escribir código. Siguiendo estos simples pasos, se pueden fusionar dos o más Control Towers en una sola, lo que permite a su empresa consolidar su estructura de cuentas y su gobierno en AWS.
