Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Config Regeln für alle Konten in Ihrer Organisation verwalten
Wichtig
Organisationsregeln können nur über die API oder CLI erstellt werden. Dieser Vorgang wird in der AWS Config Konsole nicht unterstützt.
AWS Config ermöglicht es Ihnen, AWS Config Regeln für alle AWS Konten innerhalb einer Organisation zu verwalten. Sie haben folgende Möglichkeiten:
-
AWS Config Regeln für alle Konten in Ihrer Organisation zentral erstellen, aktualisieren und löschen.
-
Stellen Sie ein einheitliches AWS Config Regelwerk für alle Konten bereit und geben Sie Konten an, AWS Config für die keine Regeln erstellt werden sollen.
-
Verwenden Sie die APIs vom Verwaltungskonto aus, AWS Organizations um die Verwaltung durchzusetzen, indem Sie sicherstellen, dass die zugrunde liegenden AWS Config Regeln nicht durch die Mitgliedskonten Ihrer Organisation geändert werden können.
Überlegungen
Für Bereitstellungen in verschiedenen Regionen
Der API-Aufruf zur kontenübergreifenden Bereitstellung von Regeln und Konformitätspaketen ist AWS regionsspezifisch. Auf Organisationsebene müssen Sie den Kontext Ihres API-Aufrufs auf eine andere Region ändern, wenn Sie Regeln in anderen Regionen bereitstellen möchten. Wenn Sie beispielsweise eine Regel in USA Ost (Nord-Virginia) bereitstellen möchten, ändern Sie die Region auf USA Ost (Nord-Virginia) und rufen Sie dann PutOrganizationConfigRule auf.
Für Konten innerhalb einer Organisation
Wenn ein neues Konto einer Organisation beitritt, wird die Regel oder das Konformitätspaket für dieses Konto bereitgestellt. Wenn ein Konto eine Organisation verlässt, wird die Regel oder das Konformitätspaket entfernt.
Wenn Sie eine Organisationsregel oder ein Konformitätspaket im Konto eines Organisationsadministrators bereitstellen und dann einen delegierten Administrator einrichten und eine Organisationsregel oder ein Konformitätspaket im delegierten Administratorkonto bereitstellen, können Sie die Organisationsregel oder das Konformitätspaket im Konto des Organisationsadministrators nicht vom delegierten Administratorkonto aus sehen. Sie können auch die Organisationsregel oder das Konformitätspaket nicht vom delegierten Administratorkonto des Kontos eines Organisationsadministrators aus sehen. Die DescribeOrganizationConformancePacksAPIs DescribeOrganizationConfigRulesund können nur die organisationsbezogenen Ressourcen sehen und mit ihnen interagieren, die von dem Konto aus bereitgestellt wurden, das diese APIs aufruft.
Wiederholungsmechanismus für neue Konten, die einer Organisation hinzugefügt wurden
Wenn kein Recorder verfügbar ist, wird die Bereitstellung vorhandener Organisationsregeln und Konformitätspakete nur 7 Stunden lang wiederholt, nachdem ein Konto zu Ihrer Organisation hinzugefügt wurde. Es wird erwartet, dass Sie innerhalb von 7 Stunden nach dem Hinzufügen eines Kontos zu Ihrer Organisation einen Recorder erstellen, falls noch keiner vorhanden ist.
Bereitstellung
Informationen zur Integration finden Sie AWS Config AWS Organizations unter AWS Config und AWS Organizations im AWS Organizations Benutzerhandbuch. Stellen Sie sicher, dass die AWS Config Aufzeichnung aktiviert ist, bevor Sie die folgenden APIs verwenden, um AWS Config Regeln für alle AWS Konten innerhalb einer Organisation zu verwalten:
-
PutOrganizationConfigRule, fügt eine Regel zur Organisationskonfiguration für Ihre gesamte Organisation hinzu oder aktualisiert sie. Dabei wird bewertet, ob Ihre AWS Ressourcen den gewünschten Konfigurationen entsprechen.
-
DescribeOrganizationConfigRules, gibt eine Liste von Organisationskonfigurationsregeln zurück.
-
GetOrganizationConfigRuleDetailedStatus, gibt einen detaillierten Status für jedes Mitgliedskonto innerhalb einer Organisation für eine bestimmte Organisationskonfigurationsregel zurück.
-
GetOrganizationCustomRulePolicy, gibt die Richtliniendefinition zurück, die die Logik für die benutzerdefinierte Richtlinienregel Ihrer Organisationskonfiguration enthält.
-
DescribeOrganizationConfigRuleStatuses, gibt den Bereitstellungsstatus der Organisationskonfigurationsregel für eine Organisation an.
-
DeleteOrganizationConfigRule, löscht die angegebene Organisationskonfigurationsregel und alle zugehörigen Bewertungsergebnisse aus allen Mitgliedskonten in dieser Organisation.
Einschränkungen
Konten für die Organisationsverwaltung, delegierte Administratoren und dienstbezogene Rollen
Wenn Sie ein Organisationsverwaltungskonto verwenden und beabsichtigen, einen delegierten Administrator für die organisatorische Bereitstellung zu verwenden, beachten Sie, dass dadurch die serviceverknüpfte Rolle (SLR) AWS Config nicht automatisch erstellt wird. Sie müssen die serviceverknüpfte Rolle (SLR) mithilfe von IAM separat manuell erstellen.
Wenn Sie keine Spiegelreflexkamera für Ihr Verwaltungskonto haben, können Sie von einem delegierten Administratorkonto aus keine Ressourcen für dieses Konto bereitstellen. Sie können weiterhin AWS Config Regeln für Mitgliedskonten von Verwaltungs- und delegierten Administratorkonten aus bereitstellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Identity and Access Management (IAM-) Benutzerhandbuch.
Unterstützung von Regionen
Die Bereitstellung von AWS Config Regeln für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.
| Name der Region | Region | Endpunkt | Protocol (Protokoll) |
|---|---|---|---|
| USA Ost (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| USA Ost (Nord-Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA West (Nordkalifornien) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| USA West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
