Autorisieren von Aggregatorkonten zur Erfassung von AWS Config Konfigurations- und Compliance-Daten - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von Aggregatorkonten zur Erfassung von AWS Config Konfigurations- und Compliance-Daten

Autorisierung bezieht sich auf die Berechtigungen, die Sie einem Aggregatorkonto und einer Region zur Erfassung Ihrer AWS Config Konfigurations- und Compliance-Daten gewähren. Die Autorisierung ist nicht erforderlich, wenn Sie Quellkonten aggregieren, die Teil von AWS Organizations sind. Sie können die AWS Config Konsole oder die verwenden, um AWS CLI Aggregatorkonten zu autorisieren.

Überlegungen

Es gibt zwei Arten von Aggregatoren: Aggregator für einzelne Konten und Aggregator für die Organisation

Bei einem Aggregator für einzelne Konten ist eine Autorisierung für alle Quellkonten und Regionen erforderlich, die Sie einbeziehen möchten, einschließlich externer Konten und Regionen sowie Mitgliedskonten und Regionen der Organisation.

Bei einem Organisationsaggregator ist keine Autorisierung für Regionen mit Mitgliedskonten der Organisation erforderlich, da die Autorisierung in den Service integriert ist. AWS Organizations

Aggregatoren werden nicht automatisch in Ihrem Namen AWS Config aktiviert

AWS Config muss im Quellkonto und in der Region für beide Aggregatortypen aktiviert sein, damit AWS Config Daten im Quellkonto und in der Region generiert werden können.

Autorisierung wird hinzugefügt

Adding Authorization (Console)

Sie können eine Autorisierung hinzufügen, um Aggregatorkonten und Regionen die Erlaubnis zu erteilen, AWS Config Konfigurations- und Compliance-Daten zu sammeln.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Rufen Sie die Seite Authorizations (Autorisierungen) auf und klicken Sie auf Add authorization (Autorisierung hinzufügen).

  3. Geben Sie unter Aggregator account (Aggregatorkonto) die zwölfstellige Konto-ID eines Aggregatorkontos an.

  4. Wählen Sie für die Aggregator-Region die Region aus, AWS-Regionen in der das Aggregatorkonto AWS Config-Konfiguration und Compliance-Daten sammeln darf.

  5. Wählen Sie Add authorization (Autorisierung hinzufügen) aus, um Ihre Auswahl zu bestätigen.

    AWS Config zeigt ein Aggregatorkonto, eine Region und einen Autorisierungsstatus an.

    Anmerkung

    Mithilfe von Beispielvorlagen können Sie Aggregatorkonten und Regionen auch programmatisch Autorisierungen hinzufügen. AWS CloudFormation Weitere Informationen finden Sie AWS::Config::AggregationAuthorizationim AWS CloudFormation Benutzerhandbuch.

Authorizing a Pending Request (Console)

Sofern eine ausstehende Anforderung eines bestehenden Aggregatorkontos vorliegt, wird der Anforderungsstatus auf der Seite Autorisierungen angezeigt. Sie können die ausstehende Anforderung auf dieser Seite autorisieren.

  1. Wählen Sie das Aggregatorkonto aus, das Sie autorisieren möchten, und klicken Sie auf Autorisieren.

    Eine Bestätigungsmeldung wird angezeigt, um zu bestätigen, dass Sie dem Aggregatorkonto die Erlaubnis erteilen möchten, AWS Config Daten von diesem Konto zu sammeln.

  2. Wählen Sie erneut Autorisieren aus, um zu bestätigen, dass Sie dem Aggregatorkonto die Berechtigung erteilen möchten.

    Der Autorisierungsstatus wird von Requesting for authorization (Autorisierung angefordert) in Authorized (Autorisiert) geändert.

Genehmigungszeitraum für die Autorisierung

Für das Hinzufügen von Quellkonten zu einem Aggregator für einzelne Konten ist eine Autorisierungsgenehmigung erforderlich. Nachdem ein Aggregator für einzelne Konten ein Quellkonto hinzugefügt hat, bleibt eine ausstehende Autorisierungsanfrage 7 Tage lang verfügbar.

Adding Authorization (AWS CLI)
  1. Öffnen Sie eine Eingabeaufforderung oder ein Terminal-Fenster.

  2. Geben Sie den folgenden Befehl ein:

    aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
  3. Die Ausgabe sollte folgendermaßen oder ähnlich aussehen:

    { "AggregationAuthorization": { "AuthorizedAccountId": "AccountID", "AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region", "CreationTime": 1518116709.993, "AuthorizedAwsRegion": "Region" } }