Verwaltung von Conformance Packs AWS Config für alle Konten in Ihrem Unternehmen - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Conformance Packs AWS Config für alle Konten in Ihrem Unternehmen

Wird verwendet AWS Config , um Konformitätspakete für alle AWS-Konten innerhalb einer Organisation zu verwalten. Sie haben die folgenden Möglichkeiten:

  • Zentrales Bereitstellen, Aktualisieren und Löschen von Conformance Packs für alle Mitgliedskonten in einer Organisation in AWS Organizations.

  • Stellen Sie einen gemeinsamen Satz von AWS Config Regeln und Behebungsmaßnahmen für alle Konten bereit und geben Sie Konten an, für die keine AWS Config Regeln und Abhilfemaßnahmen erstellt werden sollen.

  • Verwenden Sie das Verwaltungskonto AWS Organizations , um die Verwaltung durchzusetzen, indem Sie sicherstellen, dass die zugrunde liegenden AWS Config Regeln und Abhilfemaßnahmen nicht durch die Mitgliedskonten Ihrer Organisation geändert werden können.

Überlegungen

Für Bereitstellungen in verschiedenen Regionen

Die API Aufforderung zur kontenübergreifenden Bereitstellung von Regeln und Konformitätspaketen ist AWS regionsspezifisch. Auf Organisationsebene müssen Sie den Kontext Ihres API Anrufs in eine andere Region ändern, wenn Sie Regeln in anderen Regionen bereitstellen möchten. Wenn Sie beispielsweise eine Regel in USA Ost (Nord-Virginia) bereitstellen möchten, ändern Sie die Region auf USA Ost (Nord-Virginia) und rufen Sie dann PutOrganizationConfigRule auf.

Für Konten innerhalb einer Organisation

Wenn ein neues Konto einer Organisation beitritt, wird die Regel oder das Konformitätspaket für dieses Konto bereitgestellt. Wenn ein Konto eine Organisation verlässt, wird die Regel oder das Konformitätspaket entfernt.

Wenn Sie eine Organisationsregel oder ein Konformitätspaket im Konto eines Organisationsadministrators bereitstellen und dann einen delegierten Administrator einrichten und eine Organisationsregel oder ein Konformitätspaket im delegierten Administratorkonto bereitstellen, können Sie die Organisationsregel oder das Konformitätspaket im Konto des Organisationsadministrators nicht vom delegierten Administratorkonto aus sehen. Sie können auch die Organisationsregel oder das Konformitätspaket nicht vom delegierten Administratorkonto des Kontos eines Organisationsadministrators aus sehen. Die DescribeOrganizationConfigRulesund DescribeOrganizationConformancePacksAPIskönnen nur die organisationsbezogenen Ressourcen sehen und mit ihnen interagieren, die von dem Konto aus bereitgestellt wurden, das sie aufruft. APIs

Wiederholungsmechanismus für neue Konten, die einer Organisation hinzugefügt wurden

Wenn kein Recorder verfügbar ist, wird die Bereitstellung vorhandener Organisationsregeln und Konformitätspakete nur 7 Stunden lang wiederholt, nachdem ein Konto zu Ihrer Organisation hinzugefügt wurde. Es wird erwartet, dass Sie innerhalb von 7 Stunden nach dem Hinzufügen eines Kontos zu Ihrer Organisation einen Recorder erstellen, falls noch keiner vorhanden ist.

Konten für die Organisationsverwaltung, delegierte Administratoren und dienstbezogene Rollen

Wenn Sie ein Organisationsverwaltungskonto verwenden und beabsichtigen, einen delegierten Administrator für die organisatorische Bereitstellung zu verwenden, beachten Sie, dass dadurch die dienstverknüpfte Rolle () AWS Config nicht automatisch erstellt wird. SLR Sie müssen die dienstverknüpfte Rolle (SLR) mithilfe von separat manuell erstellen. IAM

Wenn Sie kein Verwaltungskonto haben, können Sie von einem delegierten Administratorkonto aus keine Ressourcen SLR für dieses Konto bereitstellen. Sie können weiterhin Conformance Packs für Mitgliedskonten von Verwaltungs- und delegierten Administratorkonten aus bereitstellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Identity and Access Management (IAM) -Benutzerhandbuch.

Bereitstellung

To deploy with the AWS Management Console

Um ein Conformance Pack von der AWS Konsole aus unternehmensweit bereitzustellen, verwenden Sie. AWS Systems Manager Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter Bereitstellen von AWS Config Conformance Packs.

To deploy with the AWS API

Informationen zur Integration AWS Config mit AWS Organizations finden Sie unter AWS Config und AWS Organizations im AWS Organizations Benutzerhandbuch. Stellen Sie sicher, dass die AWS Config Aufzeichnung aktiviert ist, bevor Sie die folgenden APIs Methoden verwenden, um die Conformance Pack-Regeln AWS-Konten innerhalb einer Organisation zu verwalten:

Unterstützung von Regionen

Die Bereitstellung von Conformance Packs für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.

Name der Region Region Endpunkt Protocol (Protokoll)
USA Ost (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
USA Ost (Nord-Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA West (Nordkalifornien) us-west-1 config.us-west-1.amazonaws.com HTTPS
USA West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrika (Kapstadt) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asien-Pazifik (Hongkong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asien-Pazifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asien-Pazifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asien-Pazifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asien-Pazifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asien-Pazifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asien-Pazifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asien-Pazifik (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asien-Pazifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asien-Pazifik (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Zentral) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada West (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Mailand) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spanien) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Naher Osten (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Naher Osten (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Südamerika (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ost) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS