Création d'agrégateurs - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'agrégateurs

Vous pouvez utiliser la AWS Config console ou le AWS CLI pour créer vos agrégateurs. Dans le menu, AWS Config vous pouvez choisir Ajouter des identifiants de compte individuels ou Ajouter mon organisation à partir de laquelle vous souhaitez agréger les données. Pour cela, AWS CLI il existe deux procédures différentes.

Creating Aggregators (Console)

Sur la page Agrégateur, vous pouvez créer un agrégateur en spécifiant les identifiants de compte source ou l'organisation et les régions à partir desquelles vous souhaitez agréger les données.

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config/.

  2. Accédez à la page Agrégateurs et choisissez Créer un agrégateur.

  3. Autoriser la réplication des données, autorise AWS Config la réplication des données des comptes sources vers un compte agrégateur.

    Choisissez Autoriser AWS Config pour répliquer les données du ou des comptes source vers un compte agrégateur. Vous devez sélectionner cette case à cocher pour continuer à ajouter un agrégateur.

  4. Pour Aggregator name (Nom de l'agrégateur), saisissez le nom de votre agrégateur.

    Le nom de l'agrégateur doit être un nom unique comportant au maximum 64 caractères alphanumériques. Le nom peut contenir des tirets et des traits de soulignement.

  5. Pour Sélectionner les comptes source, choisissez Ajouter des identifiants de compte individuels ou Ajouter mon organisation à partir de laquelle vous souhaitez agréger les données.

    Note

    Une autorisation est requise lorsque vous utilisez l'option Ajouter des ID de compte individuel pour sélectionner des comptes sources.

    • Si vous choisissez Add individual account IDs (Ajouter des ID de compte individuel), vous pouvez indiquer les ID de compte individuel d'un compte agrégateur.

      1. Choisissez Add source accounts (Ajouter les comptes source) pour ajouter les ID de compte.

      2. Choisissez Ajouter des Compte AWS identifiants pour ajouter manuellement des identifiants séparés par des Compte AWS virgules. Si vous souhaitez regrouper les données du compte actuel, saisissez l'ID de ce compte.

        OU

        Choisissez Charger un fichier pour charger un fichier (.txt ou .csv) dont les identifiants sont séparés par des Compte AWS virgules.

      3. Choisissez Add source accounts (Ajouter les comptes source) pour confirmer votre sélection.

    • Si vous choisissez Add my organization (Ajouter mon organisation), vous pouvez ajouter tous les comptes de votre organisation à un compte agrégateur.

      Note

      Vous devez être connecté au compte de gestion ou à un administrateur délégué enregistré et toutes les fonctionnalités doivent être activées dans votre organisation. Si l'appelant est un compte de gestion, AWS Config appelle EnableAwsServiceAccess l'API pour permettre l'intégration entre AWS Config et AWS Organizations. Si l'appelant est un administrateur délégué enregistré, AWS Config appelle ListDelegatedAdministrators l'API pour vérifier s'il est un administrateur délégué valide.

      Assurez-vous que le compte de gestion enregistre l'administrateur délégué pour le nom principal du AWS Config service (config.amazonaws.com) avant que l'administrateur délégué ne crée un agrégateur. Pour enregistrer un administrateur délégué, consultez Enregistrement d'un administrateur délégué.

      Vous devez attribuer un rôle IAM pour permettre d' AWS Config appeler des API en lecture seule pour votre organisation.

      1. Choisissez Sélectionner un rôle dans votre compte pour choisir un rôle &IAM existant.

        Note

        Dans la console IAM, attachez la stratégie gérée AWSConfigRoleForOrganizations à votre rôle IAM. L'attachement de cette politique AWS Config permet d'appeler AWS Organizations DescribeOrganizationListAWSServiceAccessForOrganization, et des ListAccounts API. Par défaut, config.amazonaws.com est automatiquement spécifié en tant qu'entité de confiance.

      2. Choisissez Créer un rôle et saisissez un nom de rôle IAM pour créer le rôle IAM.

  6. Pour Regions (Régions), choisissez les régions pour lesquelles vous souhaitez regrouper les données.

    • Sélectionnez une ou plusieurs régions ou toutes les Régions AWS.

    • Sélectionnez Inclure le futur Régions AWS pour agréger les données de tous les futurs Régions AWS où l'agrégation de données multi-comptes et multirégions est activée.

  7. Choisissez Enregistrer. AWS Config affiche l'agrégateur.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. Ouvrez une invite de commande ou une fenêtre de terminal.

  2. Saisissez la commande suivante pour créer un agrégateur nommé MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Pour account-aggregation-sources, indiquez l’un des éléments suivants.

    • Liste d' Compte AWS identifiants séparés par des virgules pour lesquels vous souhaitez agréger les données. Placez les ID de compte entre crochets avec une mise en échappement (par exemple, "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • Vous pouvez également télécharger un fichier JSON contenant des identifiants séparés par des Compte AWS virgules. Pour charger le fichier, utilisez la syntaxe suivante : --account-aggregation-sources MyFilePath/MyFile.json

      Le format du fichier JSON doit être le suivant :

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. Appuyez sur Entrée pour exécuter la commande.

    Vous devez voir des résultats similaires à ce qui suit :

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggreagtors using AWS Organizations (AWS CLI)

Avant de commencer cette procédure, vous devez être connecté au compte de gestion ou à un administrateur délégué enregistré et toutes les fonctionnalités doivent être activées dans votre organisation.

Note

Assurez-vous que le compte de gestion enregistre un administrateur délégué portant les deux noms principaux de AWS Config service suivants (config.amazonaws.cometconfig-multiaccountsetup.amazonaws.com) avant que l'administrateur délégué ne crée un agrégateur. Pour enregistrer un administrateur délégué, consultez Enregistrement d'un administrateur délégué.

  1. Ouvrez une invite de commande ou une fenêtre de terminal.

  2. Si vous n'avez pas créé de rôle IAM pour votre AWS Config agrégateur, entrez la commande suivante : 

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    Note

    Copiez le nom de ressource Amazon (ARN) à partir de ce rôle IAM pour l'utiliser lors de la création de votre AWS Config agrégateur. Vous pouvez trouver l’ARN sur l’objet de réponse.

  3. Si aucune stratégie n'est associée à votre rôle IAM, associez la stratégie AWSConfigRoleForOrganizationsgérée ou entrez la commande suivante : 

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. Saisissez la commande suivante pour créer un agrégateur nommé MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. Appuyez sur Entrée pour exécuter la commande.

    Vous devez voir des résultats similaires à ce qui suit :

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}