Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de un agregador mediante el AWS Command Line Interface
Puede crear, ver, actualizar y eliminar datos del AWS Config agregador mediante (). AWS Command Line Interface AWS CLI
AWS CLI Se trata de una herramienta unificada para gestionar sus AWS servicios. Con solo descargar y configurar una herramienta, puede controlar varios AWS servicios desde la línea de comandos y utilizar scripts para automatizarlos. Para obtener más información AWS CLI e instrucciones sobre cómo instalarlas AWS CLI , consulte lo siguiente en la Guía del AWS Command Line Interface usuario.
Si es necesario, aws configure introdúzcalo para configurar el AWS CLI uso de una AWS
región en la que estén disponibles los agregadores.
Temas
Adición de un agregador con cuentas individuales
-
Abra un símbolo del sistema o una ventana de terminal.
-
Escriba el siguiente comando para crear un agregador denominado
MyAggregator.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"Para
account-aggregation-sources, introduzca una de las siguientes opciones:-
Una lista de Cuenta de AWS identificadores separados por comas para los que desea agregar datos. Encierre los ID de cuenta entre corchetes y asegúrese de aplicar escape a las comillas (por ejemplo,
"[{\"AccountIds\": [\").AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]" -
También puede cargar un archivo JSON de ID separados por comas Cuenta de AWS . Cargue el archivo utilizando la siguiente sintaxis:
--account-aggregation-sourcesMyFilePath/MyFile.jsonEl archivo JSON debe tener el siguiente formato:
[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ] -
-
Pulse Intro para ejecutar el comando.
Debería ver una salida similar a esta:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
Adición de un agregador utilizando AWS Organizations
Antes de iniciar este procedimiento, debe haber iniciado sesión en la cuenta de administración o la de un administrador delegado registrado y todas las características debe estar habilitadas en su organización.
nota
Asegúrese de que la cuenta de administración registre un administrador delegado con los siguientes nombres principales de AWS Config servicio (config.amazonaws.comyconfig-multiaccountsetup.amazonaws.com) antes de que el administrador delegado cree un agregador. Para registrar un administrador delegado, consulte Registro de un administrador delegado.
-
Abra un símbolo del sistema o una ventana de terminal.
-
Si no ha creado un rol de IAM para su AWS Config agregador, introduzca el siguiente comando:
aws iam create-role --role-nameOrgConfigRole--assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"nota
Copia el nombre del recurso de Amazon (ARN) de este rol de IAM para usarlo cuando crees tu agregador. AWS Config Puede encontrar los ARN en el objeto de respuesta.
-
Si no ha asociado ninguna política a su función de IAM, adjunte la política AWSConfigRoleForOrganizationsgestionada o introduzca el siguiente comando:
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}' -
Introduzca el siguiente comando para crear un agregador denominado
MyAggregator.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}" -
Pulse Intro para ejecutar el comando.
Debería ver una salida similar a esta:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }
Registro de un administrador delegado
Los administradores delegados son cuentas de una AWS organización determinada a las que se conceden privilegios administrativos adicionales para un servicio específico AWS .
-
Inicie sesión con las credenciales de la cuenta de administración.
-
Abra un símbolo del sistema o una ventana de terminal.
-
Introduzca el siguiente comando para habilitar el acceso al servicio como administrador delegado para que su organización pueda implementar y administrar AWS Config las reglas y los paquetes de conformidad en toda la organización:
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com -
Introduzca el siguiente comando para habilitar el acceso a los servicios como administrador delegado de su organización a fin de agregar AWS Config datos en toda la organización:
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com -
Para comprobar si la activación del acceso al servicio se ha completado, introduzca el siguiente comando y pulse Intro para ejecutarlo.
aws organizations list-aws-service-access-for-organizationDebería ver una salida similar a esta:
{ "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] } -
A continuación, introduzca el siguiente comando para registrar una cuenta de miembro como administrador delegado para AWS Config.
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-idMemberAccountIDy
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-idMemberAccountID -
Para comprobar si se ha completado el registro del administrador delegado, introduzca el siguiente comando desde la cuenta de administración y pulse Intro para ejecutar el comando.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.comy
aws organizations list-delegated-administrators --service-principal=config.amazonaws.comDebería ver una salida similar a esta:
{ "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::MemberAccountID:account/o-c7esubdi38/MemberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp": 1604867734.48, "DelegationEnabledDate": 1607020986.801 } ] }
Visualización de un agregador
-
Escriba el siguiente comando:
aws configservice describe-configuration-aggregators -
En función de su cuenta de origen, debería ver un resultado similar al siguiente:
Para cuentas individuales
{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }OR
Para una organización
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }
Edición de un agregador
-
Puede utilizar el comando
put-configuration-aggregatorpara actualizar o editar un agregador de configuración.Introduzca el siguiente comando para añadir un ID de cuenta nuevo a
MyAggregator:aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]" -
En función de su cuenta de origen, debería ver un resultado similar al siguiente:
Para cuentas individuales
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 } }OR
Para una organización
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }
Eliminación de un agregador
Escriba el siguiente comando:
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
Si se ejecuta correctamente, el comando no muestra ninguna salida adicional.
