Service-verknüpfte Rollen Den vertrauenswürdigen Zugriff aktivieren So deaktivieren Sie den vertrauenswürdigen Zugriff

AWS Config und AWS Organizations

AWS Config Mit der Datenaggregation für mehrere Konten und Regionen können Sie AWS Config Daten aus mehreren Konten AWS-Regionen in einem einzigen Konto zusammenfassen. Die Datenaggregation für mehrere Konten und Regionen ist für IT-Administratoren hilfreich, die die Compliance mehrerer AWS-Konten im Unternehmen überwachen. Ein Aggregator ist ein Ressourcentyp AWS Config , der AWS Config Daten aus mehreren Quellkonten und Regionen sammelt. Erstellen Sie einen Aggregator in der Region, in der Sie die aggregierten Daten AWS Config sehen möchten. Beim Erstellen eines Aggregators können Sie wählen, ob Sie einzelne Konto-IDs oder Ihre Organisation hinzufügen möchten. Weitere Informationen AWS Config dazu finden Sie im AWS Config Entwicklerhandbuch.

Sie können AWS Config APIs auch verwenden, um AWS Config Regeln AWS-Konten in Ihrer gesamten Organisation zu verwalten. Weitere Informationen finden Sie im AWS Config Entwicklerhandbuch unter Aktivieren von AWS Config Regeln für alle Konten in Ihrer Organisation.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration AWS Config mit zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird im Konto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rolle ermöglicht AWS Config die Ausführung unterstützter Operationen innerhalb der Konten in Ihrer Organisation.

AWSServiceRoleForConfig

Diese Rolle wird erstellt, wenn Sie sie AWS Config in Ihrer Organisation aktivieren, indem Sie einen Aggregator für mehrere Konten erstellen. AWS Config fordert Sie auf, eine Rolle auszuwählen oder zu erstellen und den Namen anzugeben. Es gibt keinen automatisch generierten Namen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWS Config und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

Den vertrauenswürdigen Zugriff mit AWS Config aktivieren

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Config Konsole oder die AWS Organizations Konsole aktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS Config Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen. Auf diese Weise können AWS Config Sie jede Konfiguration durchführen, die erforderlich ist, z. B. die Erstellung von Ressourcen, die für den Dienst benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS Config bereitgestellten Tools aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Config Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

So aktivieren Sie den vertrauenswürdigen Zugriff über die AWS Config Konsole

Um den vertrauenswürdigen Zugriff auf die AWS Organizations Nutzung zu ermöglichen AWS Config, erstellen Sie einen Aggregator für mehrere Konten und fügen Sie die Organisation hinzu. Weitere Informationen zur Konfiguration eines Multi-Konten-Aggregators finden Sie unter Einrichten eines Aggregators mithilfe der Konsole im AWS Config -Entwicklerhandbuch.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder eine API-Operation in einem der AWS SDKs aufrufen.

AWS Management Console

So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
Wählen Sie im Navigationsbereich Services.
Wählen Sie AWS Configin der Liste der Dienste aus.
Wählen Sie Vertrauenswürdigen Zugriff aktivieren.
Geben Sie im AWS Config Dialogfeld Vertrauenswürdigen Zugriff aktivieren für den Text enable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.
Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS Config dass er diesen Dienst jetzt über die Konsole aktivieren kann, mit der er arbeiten kann AWS Organizations.

AWS CLI, AWS API

So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

AWS CLI: enable-aws-service-access

Sie können den folgenden Befehl ausführen, um ihn AWS Config als vertrauenswürdigen Dienst bei Organizations zu aktivieren.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal config.amazonaws.com
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
AWS API: Aktivieren AWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Config

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder einen API-Vorgang für Organizations in einem der AWS SDKs aufrufen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Compute Optimizer

AWS Cost Optimization Hub