Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des packs de conformité dans tous les comptes de votre organisation
AWS Config À utiliser pour gérer les packs de conformité dans l'ensemble Comptes AWS d'une organisation. Vous pouvez effectuer les actions suivantes :
-
Déployez, mettez à jour et supprimez de manière centralisée les packs de conformité dans l'ensemble des comptes membres d'une organisation dans AWS Organizations.
-
Déployez un ensemble commun de AWS Config règles et d'actions correctives pour tous les comptes et spécifiez les comptes pour lesquels les AWS Config règles et les actions correctives ne doivent pas être créées.
-
Utilisez le compte de gestion AWS Organizations pour appliquer la gouvernance en vous assurant que les AWS Config règles sous-jacentes et les mesures correctives ne sont pas modifiables par les comptes membres de votre organisation.
Considérations
Pour les déploiements dans différentes régions
L'APIappel à déployer des règles et des packs de conformité entre les comptes est spécifique à chaque AWS région. Au niveau de l'organisation, vous devez modifier le contexte de votre API appel vers une autre région si vous souhaitez déployer des règles dans d'autres régions. Par exemple, pour déployer une règle dans la région USA Est (Virginie du Nord), remplacez la région par USA Est (Virginie du Nord), puis appelez PutOrganizationConfigRule
.
Pour les comptes au sein d'une organisation
Si un nouveau compte rejoint une organisation, la règle ou le pack de conformité est déployé(e) sur ce compte. Lorsqu'un compte quitte une organisation, la règle ou le pack de conformité est supprimé(e).
Si vous déployez une règle organisationnelle ou un pack de conformité dans un compte administrateur d'organisation avant d'établir un administrateur délégué et de déployer une règle organisationnelle ou un pack de conformité dans le compte administrateur délégué, vous ne pourrez pas voir la règle organisationnelle ou le pack de conformité dans le compte administrateur de l'organisation depuis le compte administrateur délégué, ni voir la règle organisationnelle ou le pack de conformité dans le compte administrateur délégué depuis le compte administrateur de l'organisation. Le DescribeOrganizationConfigRuleset DescribeOrganizationConformancePacksAPIspeut uniquement voir et interagir avec les ressources liées à l'organisation qui ont été déployées depuis le compte qui les appelle. APIs
Mécanisme de nouvelle tentative pour les nouveaux comptes ajoutés à une organisation
Le déploiement des règles organisationnelles et des packs de conformité existants fera l'objet d'une nouvelle tentative uniquement dans les 7 heures suivant l'ajout d'un compte à votre organisation si aucun enregistreur n'est disponible. Vous devez créer un enregistreur s'il n'en existe pas dans les 7 heures qui suivent l'ajout d'un compte à votre organisation.
Comptes de gestion de l'organisation, administrateurs délégués et rôles liés aux services
Si vous utilisez un compte de gestion d'organisation et que vous avez l'intention de faire appel à un administrateur délégué pour le déploiement organisationnel, sachez que cela AWS Config ne créera pas automatiquement le rôle lié au service ()SLR. Vous devez créer manuellement le rôle lié au service (SLR) séparément à l'aide de. IAM
Si vous ne disposez pas SLR d'un compte de gestion, vous ne pourrez pas y déployer de ressources à partir d'un compte d'administrateur délégué. Vous pourrez toujours déployer des packs de conformité sur les comptes membres à partir de comptes de gestion et d'administrateur délégué. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur AWS Identity and Access Management (IAM).
Déploiement
Prise en charge de la région
Le déploiement de packs de conformité sur les comptes membres d'une AWS organisation est pris en charge dans les régions suivantes.
Nom de la région | Région | Point de terminaison | Protocole |
---|---|---|---|
US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
USA Ouest (Californie du Nord) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
Afrique (Le Cap) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Asie-Pacifique (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Asie-Pacifique (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Asie-Pacifique (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Asie-Pacifique (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asia Pacific (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asie-Pacifique (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Asia Pacific (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asie-Pacifique (Singapour) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asia Pacific (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Canada Ouest (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europe (Francfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europe (Irlande) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europe (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europe (Milan) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europe (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europe (Espagne) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europe (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europe (Zurich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israël (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Moyen-Orient (Bahreïn) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Moyen-Orient (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
Amérique du Sud (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (USA Est) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (US-Ouest) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |