Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen
Bevor Sie Ihr Conformance Pack bereitstellen, schalten Sie die AWS Config Aufzeichnung ein.
Starten Sie die Aufnahme AWS Config
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/
. -
Wählen Sie im Navigationsbereich Settings (Einstellungen) aus.
-
Wählen Sie unter Recording is off (Aufzeichnung ist aus) die Option Turn on (Einschalten), um die Aufzeichnung zu starten. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.
Voraussetzungen für die Verwendung eines Conformance Packs mit Korrekturmaßnahmen
Bevor Sie Conformance Packs mithilfe von Beispielvorlagen mit Problembehebung bereitstellen, müssen Sie auf der Grundlage Ihres Behebungsziels entsprechende Ressourcen wie Automatisierung, Übernahme der Rolle und andere AWS Ressourcen einrichten.
Wenn Sie bereits über eine Automatisierungsrolle verfügen, die Sie für Korrekturmaßnahen mithilfe von SSM-Dokumenten verwenden, können Sie den ARN dieser Rolle direkt angeben. Wenn Sie über Ressourcen verfügen, können Sie diese in der Vorlage angeben.
Anmerkung
Bei der Bereitstellung eines Konformitätspakets mit Korrekturen für eine Organisation muss die Verwaltungskonto-ID der Organisation angegeben sein. Andernfalls ersetzt AWS Config bei der Bereitstellung des Konformitätspakets für die Organisation die Verwaltungskonto-ID automatisch durch die Mitgliedskonto-ID.
AWS Config unterstützt keine AWS CloudFormation systemeigenen Funktionen für die Rolle „Automatisierungsausführung“. Sie müssen den genauen ARN der Rolle als Zeichenfolge angeben.
Weitere Informationen zum Angeben des genauen ARN finden Sie unter Conformance Pack-Beispielvorlagen. Aktualisieren Sie Ihre Konto-ID und die Verwaltungskonto-ID für die Organisation, wenn Sie Beispielvorlagen verwenden.
Voraussetzungen für die Verwendung eines Conformance Packs mit einer oder mehreren Regeln AWS Config
Bevor Sie ein Conformance Pack mit einer oder mehreren benutzerdefinierten AWS Config Regeln bereitstellen, müssen Sie entsprechende Ressourcen wie AWS Lambda Funktion und die entsprechende Ausführungsrolle erstellen.
Wenn Sie bereits über eine benutzerdefinierte AWS Config Regel verfügen, können Sie die AWS Lambda Funktion ARN of direkt bereitstellen, um eine weitere Instanz dieser benutzerdefinierten Regel als Teil des Pakets zu erstellen.
Wenn Sie noch keine benutzerdefinierte AWS Config Regel haben, können Sie eine AWS Lambda Funktion erstellen und den ARN der Lambda-Funktion verwenden. Weitere Informationen finden Sie unter AWS Config Benutzerdefinierte Regeln.
Wenn Ihre AWS Lambda Funktion in einer anderen Version vorhanden ist AWS-Konto, können Sie AWS Config Regeln mit entsprechender kontoübergreifender AWS Lambda Funktionsautorisierung erstellen. Weitere Informationen finden Sie im AWS-Konten Blogbeitrag So verwalten Sie AWS Config Regeln für mehrere Personen zentral
Voraussetzungen für Conformance Packs für eine Organisation
Geben Sie einen ARN für die Automatisierungsausführungsrolle für diese Korrekturmaßnahme in der Vorlage an, wenn die Eingabevorlage über eine Konfiguration für die automatische Korrektur verfügt. Stellen Sie sicher, dass in allen Konten (Verwaltung und Mitglied) einer Organisation eine Rolle mit dem angegebenen Namen vorhanden ist. Sie müssen diese Rolle in allen Konten erstellen, bevor Sie PutOrganizationConformancePack aufrufen. Sie können diese Rolle manuell erstellen oder die AWS CloudFormation Stack-Sets verwenden, um diese Rolle in jedem Konto zu erstellen.
Wenn Ihre Vorlage eine AWS CloudFormation systeminterne Funktion verwendet, Fn::ImportValue um eine bestimmte Variable zu importieren, muss diese Variable Export
Value in allen Mitgliedskonten dieser Organisation als eine definiert werden.
Informationen zu benutzerdefinierten AWS Config Regeln finden Sie im AWS-Konten Blog So verwalten Sie AWS Config Regeln zentral über mehrere
Bucket-Richtlinie der Organisation:
AWS Config Um Conformance Pack-Artefakte speichern zu können, müssen Sie einen Amazon S3 S3-Bucket bereitstellen und die folgenden Berechtigungen hinzufügen. Weitere Informationen zur Benennung von Buckets finden Sie unter Regeln für die Benennung von Buckets.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } }, { "Sid": "AllowGetBucketAcl", "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } } ] }
Anmerkung
Wenn Sie Konformitätspakete für eine Organisation bereitstellen, sollte der Name des Amazon-S3-Buckets für die Übermittlung mit awsconfigconforms beginnen.
