Gestion des AWS Config règles pour tous les comptes de votre organisation - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des AWS Config règles pour tous les comptes de votre organisation

Important

Les règles organisationnelles ne peuvent être créées qu'à l'aide de l'API ou de la CLI. Cette opération n'est pas prise en charge dans la AWS Config console.

AWS Config vous permet de gérer les AWS Config règles dans l'ensemble Comptes AWS d'une organisation. Vous pouvez :

  • Créez, mettez à jour et supprimez des AWS Config règles centralisées pour tous les comptes de votre organisation.

  • Déployez un ensemble de AWS Config règles communes à tous les comptes et spécifiez les comptes pour lesquels AWS Config les règles ne doivent pas être créées.

  • Utilisez les API du compte de gestion AWS Organizations pour renforcer la gouvernance en vous assurant que les AWS Config règles sous-jacentes ne sont pas modifiables par les comptes membres de votre organisation.

Considérations

Pour les déploiements dans différentes régions

L'appel d'API pour déployer des règles et des packs de conformité entre les comptes est spécifique à AWS la région. Au niveau de l'organisation, vous devez modifier le contexte de votre appel d'API vers une autre région si vous souhaitez déployer des règles dans d'autres régions. Par exemple, pour déployer une règle dans la région USA Est (Virginie du Nord), remplacez la région par USA Est (Virginie du Nord), puis appelez PutOrganizationConfigRule.

Pour les comptes au sein d'une organisation

Si un nouveau compte rejoint une organisation, la règle ou le pack de conformité est déployé(e) sur ce compte. Lorsqu'un compte quitte une organisation, la règle ou le pack de conformité est supprimé(e).

Si vous déployez une règle organisationnelle ou un pack de conformité dans un compte administrateur d'organisation avant d'établir un administrateur délégué et de déployer une règle organisationnelle ou un pack de conformité dans le compte administrateur délégué, vous ne pourrez pas voir la règle organisationnelle ou le pack de conformité dans le compte administrateur de l'organisation depuis le compte administrateur délégué, ni voir la règle organisationnelle ou le pack de conformité dans le compte administrateur délégué depuis le compte administrateur de l'organisation. Les DescribeOrganizationConformancePacksAPI DescribeOrganizationConfigRuleset peuvent uniquement voir et interagir avec les ressources liées à l'organisation qui ont été déployées depuis le compte appelant ces API.

Mécanisme de nouvelle tentative pour les nouveaux comptes ajoutés à une organisation

Le déploiement des règles organisationnelles et des packs de conformité existants fera l'objet d'une nouvelle tentative uniquement dans les 7 heures suivant l'ajout d'un compte à votre organisation si aucun enregistreur n'est disponible. Vous devez créer un enregistreur s'il n'en existe pas dans les 7 heures qui suivent l'ajout d'un compte à votre organisation.

Comptes de gestion de l'organisation, administrateurs délégués et rôles liés aux services

Si vous utilisez un compte de gestion d'organisation et que vous avez l'intention de faire appel à un administrateur délégué pour le déploiement organisationnel, sachez que cela AWS Config ne créera pas automatiquement le rôle lié au service (SLR). Vous devez créer manuellement le rôle lié au service (SLR) séparément à l'aide d'IAM.

Si vous ne possédez pas de reflex pour votre compte de gestion, vous ne pourrez pas déployer de ressources vers ce compte à partir d'un compte d'administrateur délégué. Vous pourrez toujours déployer des AWS Config règles sur les comptes membres depuis les comptes de gestion et les comptes d'administrateur délégué. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS Identity and Access Management utilisateur (IAM).

Déploiement

Pour plus d'informations sur la manière AWS Config d'intégrer AWS Organizations, consultez AWS Config et AWS Organizations dans le Guide de AWS Organizations l'utilisateur. Assurez-vous que AWS Config l'enregistrement est activé avant d'utiliser les API suivantes pour gérer les AWS Config règles Comptes AWS dans l'ensemble d'une organisation :

  • PutOrganizationConfigRule, ajoute ou met à jour une règle de configuration organisationnelle pour l'ensemble de votre organisation en évaluant si vos AWS ressources sont conformes aux configurations souhaitées.

  • DescribeOrganizationConfigRules, renvoie une liste des règles de configuration de l'organisation.

  • GetOrganizationConfigRuleDetailedStatus, renvoie le statut détaillé de chaque compte membre au sein d'une organisation pour une règle de configuration d'organisation donnée.

  • GetOrganizationCustomRulePolicy, renvoie la définition de politique contenant la logique de la règle de politique personnalisée de configuration de votre organisation.

  • DescribeOrganizationConfigRuleStatuts, indique l'état de déploiement des règles de configuration de l'organisation pour une organisation.

  • DeleteOrganizationConfigRule, supprime la règle de configuration d'organisation spécifiée et tous ses résultats d'évaluation de tous les comptes membres de cette organisation.

Prise en charge de la région

Le déploiement de AWS Config règles sur les comptes des membres d'une AWS organisation est pris en charge dans les régions suivantes.

Nom de la région Région Point de terminaison Protocole
US East (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
US East (N. Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA Ouest (Californie du Nord) us-west-1 config.us-west-1.amazonaws.com HTTPS
US West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Asie-Pacifique (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asie-Pacifique (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacific (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia Pacific (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacific (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacific (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (USA Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ouest) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS