Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten von Conformance Packs für alle Konten in Ihrer Organisation
Wird verwendet AWS Config , um Konformitätspakete für alle AWS-Konten innerhalb einer Organisation zu verwalten. Sie haben die folgenden Möglichkeiten:
-
Zentrales Bereitstellen, Aktualisieren und Löschen von Conformance Packs für alle Mitgliedskonten in einer Organisation in AWS Organizations.
-
Stellen Sie einen gemeinsamen Satz von AWS Config Regeln und Behebungsmaßnahmen für alle Konten bereit und geben Sie Konten an, für die keine AWS Config Regeln und Abhilfemaßnahmen erstellt werden sollen.
-
Verwenden Sie das Verwaltungskonto AWS Organizations , um die Verwaltung durchzusetzen, indem Sie sicherstellen, dass die zugrunde liegenden AWS Config Regeln und Abhilfemaßnahmen nicht durch die Mitgliedskonten Ihrer Organisation geändert werden können.
Überlegungen
Für Bereitstellungen in verschiedenen Regionen
Der API-Aufruf zur kontenübergreifenden Bereitstellung von Regeln und Konformitätspaketen ist AWS regionsspezifisch. Auf Organisationsebene müssen Sie den Kontext Ihres API-Aufrufs auf eine andere Region ändern, wenn Sie Regeln in anderen Regionen bereitstellen möchten. Wenn Sie beispielsweise eine Regel in USA Ost (Nord-Virginia) bereitstellen möchten, ändern Sie die Region auf USA Ost (Nord-Virginia) und rufen Sie dann PutOrganizationConfigRule auf.
Für Konten innerhalb einer Organisation
Wenn ein neues Konto einer Organisation beitritt, wird die Regel oder das Konformitätspaket für dieses Konto bereitgestellt. Wenn ein Konto eine Organisation verlässt, wird die Regel oder das Konformitätspaket entfernt.
Wenn Sie eine Organisationsregel oder ein Konformitätspaket im Konto eines Organisationsadministrators bereitstellen und dann einen delegierten Administrator einrichten und eine Organisationsregel oder ein Konformitätspaket im delegierten Administratorkonto bereitstellen, können Sie die Organisationsregel oder das Konformitätspaket im Konto des Organisationsadministrators nicht vom delegierten Administratorkonto aus sehen. Sie können auch die Organisationsregel oder das Konformitätspaket nicht vom delegierten Administratorkonto des Kontos eines Organisationsadministrators aus sehen. Die DescribeOrganizationConformancePacksAPIs DescribeOrganizationConfigRulesund können nur die organisationsbezogenen Ressourcen sehen und mit ihnen interagieren, die von dem Konto aus bereitgestellt wurden, das diese APIs aufruft.
Wiederholungsmechanismus für neue Konten, die einer Organisation hinzugefügt wurden
Wenn kein Recorder verfügbar ist, wird die Bereitstellung vorhandener Organisationsregeln und Konformitätspakete nur 7 Stunden lang wiederholt, nachdem ein Konto zu Ihrer Organisation hinzugefügt wurde. Es wird erwartet, dass Sie innerhalb von 7 Stunden nach dem Hinzufügen eines Kontos zu Ihrer Organisation einen Recorder erstellen, falls noch keiner vorhanden ist.
Konten für die Unternehmensverwaltung, delegierte Administratoren und dienstbezogene Rollen
Wenn Sie ein Organisationsverwaltungskonto verwenden und beabsichtigen, einen delegierten Administrator für die organisatorische Bereitstellung zu verwenden, beachten Sie, dass dadurch die serviceverknüpfte Rolle (SLR) AWS Config nicht automatisch erstellt wird. Sie müssen die serviceverknüpfte Rolle (SLR) mithilfe von IAM separat manuell erstellen.
Wenn Sie keine Spiegelreflexkamera für Ihr Verwaltungskonto haben, können Sie von einem delegierten Administratorkonto aus keine Ressourcen für dieses Konto bereitstellen. Sie können weiterhin Conformance Packs für Mitgliedskonten von Verwaltungs- und delegierten Administratorkonten aus bereitstellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Identity and Access Management (IAM -) Benutzerhandbuch.
Bereitstellung
Unterstützung von Regionen
Die Bereitstellung von Conformance Packs für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.
| Name der Region | Region | Endpunkt | Protocol (Protokoll) |
|---|---|---|---|
| USA Ost (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| USA Ost (Nord-Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA West (Nordkalifornien) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| USA West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
