Gestion des packs de conformité dans tous les comptes de votre organisation - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des packs de conformité dans tous les comptes de votre organisation

AWS Config À utiliser pour gérer les packs de conformité dans l'ensemble Comptes AWS d'une organisation. Vous pouvez effectuer les actions suivantes :

  • Déployez, mettez à jour et supprimez de manière centralisée les packs de conformité dans l'ensemble des comptes membres d'une organisation dans AWS Organizations.

  • Déployez un ensemble commun de AWS Config règles et d'actions correctives pour tous les comptes et spécifiez les comptes pour lesquels les AWS Config règles et les actions correctives ne doivent pas être créées.

  • Utilisez le compte de gestion AWS Organizations pour appliquer la gouvernance en vous assurant que les AWS Config règles sous-jacentes et les mesures correctives ne sont pas modifiables par les comptes membres de votre organisation.

Considérations

Pour les déploiements dans différentes régions

L'APIappel à déployer des règles et des packs de conformité entre les comptes est spécifique à chaque AWS région. Au niveau de l'organisation, vous devez modifier le contexte de votre API appel vers une autre région si vous souhaitez déployer des règles dans d'autres régions. Par exemple, pour déployer une règle dans la région USA Est (Virginie du Nord), remplacez la région par USA Est (Virginie du Nord), puis appelez PutOrganizationConfigRule.

Pour les comptes au sein d'une organisation

Si un nouveau compte rejoint une organisation, la règle ou le pack de conformité est déployé(e) sur ce compte. Lorsqu'un compte quitte une organisation, la règle ou le pack de conformité est supprimé(e).

Si vous déployez une règle organisationnelle ou un pack de conformité dans un compte administrateur d'organisation avant d'établir un administrateur délégué et de déployer une règle organisationnelle ou un pack de conformité dans le compte administrateur délégué, vous ne pourrez pas voir la règle organisationnelle ou le pack de conformité dans le compte administrateur de l'organisation depuis le compte administrateur délégué, ni voir la règle organisationnelle ou le pack de conformité dans le compte administrateur délégué depuis le compte administrateur de l'organisation. Le DescribeOrganizationConfigRuleset DescribeOrganizationConformancePacksAPIspeut uniquement voir et interagir avec les ressources liées à l'organisation qui ont été déployées depuis le compte qui les appelle. APIs

Mécanisme de nouvelle tentative pour les nouveaux comptes ajoutés à une organisation

Le déploiement des règles organisationnelles et des packs de conformité existants fera l'objet d'une nouvelle tentative uniquement dans les 7 heures suivant l'ajout d'un compte à votre organisation si aucun enregistreur n'est disponible. Vous devez créer un enregistreur s'il n'en existe pas dans les 7 heures qui suivent l'ajout d'un compte à votre organisation.

Comptes de gestion de l'organisation, administrateurs délégués et rôles liés aux services

Si vous utilisez un compte de gestion d'organisation et que vous avez l'intention de faire appel à un administrateur délégué pour le déploiement organisationnel, sachez que cela AWS Config ne créera pas automatiquement le rôle lié au service ()SLR. Vous devez créer manuellement le rôle lié au service (SLR) séparément à l'aide de. IAM

Si vous ne disposez pas SLR d'un compte de gestion, vous ne pourrez pas y déployer de ressources à partir d'un compte d'administrateur délégué. Vous pourrez toujours déployer des packs de conformité sur les comptes membres à partir de comptes de gestion et d'administrateur délégué. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur AWS Identity and Access Management (IAM).

Déploiement

To deploy with the AWS Management Console

Pour déployer un pack de conformité au sein d'une organisation à partir de la AWS console, utilisez AWS Systems Manager. Pour plus d'informations, consultez la section Déployer des packs de AWS Config conformité dans le guide de AWS Systems Manager l'utilisateur.

To deploy with the AWS API

Pour plus d'informations sur la manière AWS Config d'intégrer AWS Organizations, consultez AWS Config et AWS Organizations dans le Guide de AWS Organizations l'utilisateur. Assurez-vous que AWS Config l'enregistrement est activé avant d'utiliser les éléments suivants APIs pour gérer les règles relatives aux packs de conformité Comptes AWS dans l'ensemble d'une organisation :

Prise en charge de la région

Le déploiement de packs de conformité sur les comptes membres d'une AWS organisation est pris en charge dans les régions suivantes.

Nom de la région Région Point de terminaison Protocole
US East (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
US East (N. Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA Ouest (Californie du Nord) us-west-1 config.us-west-1.amazonaws.com HTTPS
US West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrique (Le Cap) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asie-Pacifique (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asie-Pacifique (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asie-Pacifique (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asie-Pacifique (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacific (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asie-Pacifique (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pacific (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asie-Pacifique (Singapour) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacific (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacific (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Canada Ouest (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europe (Francfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Irlande) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europe (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europe (Milan) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Espagne) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europe (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europe (Zurich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israël (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Moyen-Orient (Bahreïn) me-south-1 config.me-south-1.amazonaws.com HTTPS
Moyen-Orient (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amérique du Sud (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (USA Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ouest) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS