Prasyarat

Sebelum Anda menerapkan paket kesesuaian Anda, aktifkan perekaman. AWS Config

Langkah 1: Mulai AWS Config Merekam

1. Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config/.

2. Pilih Pengaturan di panel navigasi.

3. Untuk mulai merekam, di bawah Perekaman dinonaktifkan, pilih Aktifkan. Saat diminta, pilih Lanjutkan.

Langkah 2: Prasyarat untuk Menggunakan Paket Kesesuaian Dengan Remediasi

Sebelum menerapkan paket kesesuaian menggunakan template sampel dengan remediasi, Anda harus membuat sumber daya yang sesuai seperti otomatisasi mengambil peran dan sumber AWS daya lain berdasarkan target remediasi Anda.

Jika Anda memiliki peran otomatisasi yang ada yang Anda gunakan untuk remediasi menggunakan dokumen SSM, Anda dapat langsung memberikan ARN dari peran itu. Jika Anda memiliki sumber daya apa pun, Anda dapat menyediakannya di template.

catatan

Saat menerapkan paket kesesuaian dengan remediasi ke organisasi, ID akun manajemen organisasi harus ditentukan. Jika tidak, selama penyebaran paket kesesuaian organisasi AWS Config menggantikan ID akun manajemen dengan ID akun anggota secara otomatis.

AWS Config tidak mendukung fungsi AWS CloudFormation intrinsik untuk peran eksekusi otomatisasi. Anda harus memberikan ARN yang tepat dari peran sebagai string.

Untuk informasi lebih lanjut tentang cara melewati ARN yang tepat, lihat. Templat Contoh Paket Kesesuaian Saat menggunakan contoh templat, perbarui ID Akun dan ID akun manajemen Anda untuk organisasi.

Langkah 2: Prasyarat untuk Menggunakan Paket Kesesuaian Dengan Satu atau Lebih Aturan AWS Config

Sebelum menerapkan paket kesesuaian dengan satu atau beberapa AWS Config aturan khusus, buat sumber daya yang sesuai seperti AWS Lambda fungsi dan peran eksekusi yang sesuai.

Jika Anda memiliki AWS Config aturan kustom yang ada, Anda dapat langsung menyediakan AWS Lambda fungsi ARN of untuk membuat instance lain dari aturan kustom tersebut sebagai bagian dari paket.

Jika Anda tidak memiliki AWS Config aturan kustom yang ada, Anda dapat membuat AWS Lambda fungsi dan menggunakan ARN dari fungsi Lambda. Untuk informasi selengkapnya, lihat AWS Config Aturan Kustom.

Jika AWS Lambda fungsi Anda hadir dalam yang berbeda Akun AWS, Anda dapat membuat AWS Config aturan dengan otorisasi AWS Lambda fungsi lintas akun yang sesuai. Untuk informasi selengkapnya, lihat Cara Mengelola AWS Config Aturan Secara Terpusat di Beberapa posting Akun AWS blog.

Same account bucket policy

AWS Config Agar dapat menyimpan artefak paket kesesuaian, Anda harus menyediakan bucket Amazon S3 dan menambahkan izin berikut. Untuk informasi selengkapnya tentang penamaan bucket, lihat Aturan penamaan bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::delivery-bucket-name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}
        

Cross-account bucket policy

AWS Config Agar dapat menyimpan artefak paket kesesuaian, Anda harus menyediakan bucket Amazon S3 dan menambahkan izin berikut. Untuk informasi selengkapnya tentang penamaan bucket, lihat Aturan penamaan bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
            "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Sid": " AWSConfigConformsBucketReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
    }
  ]
}

catatan

Saat menerapkan paket kesesuaian lintas akun, nama bucket Amazon S3 pengiriman harus dimulai dengan. awsconfigconforms

Langkah 2: Prasyarat untuk Paket Kesesuaian Organisasi

Tentukan peran eksekusi otomatisasi ARN untuk remediasi tersebut dalam template jika template input memiliki konfigurasi autoremediasi. Pastikan peran dengan nama yang ditentukan ada di semua akun (manajemen dan anggota) organisasi. Anda harus membuat peran ini di semua akun sebelum meneleponPutOrganizationConformancePack. Anda dapat membuat peran ini secara manual atau menggunakan AWS CloudFormation stack-set untuk membuat peran ini di setiap akun.

Jika template Anda menggunakan fungsi AWS CloudFormation intrinsik Fn::ImportValue untuk mengimpor variabel tertentu, maka variabel tersebut harus didefinisikan sebagai Export Value di semua akun anggota organisasi tersebut.

Untuk AWS Config aturan kustom, lihat Cara Mengelola AWS Config Aturan Secara Terpusat di Beberapa Akun AWS blog untuk mengatur izin yang tepat.

Kebijakan bucket organisasi:

AWS Config Agar dapat menyimpan artefak paket kesesuaian, Anda harus menyediakan bucket Amazon S3 dan menambahkan izin berikut. Untuk informasi selengkapnya tentang penamaan bucket, lihat Aturan penamaan bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                 "s3:GetObject",
                 "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        },
        {
            "Sid": "AllowGetBucketAcl",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        }
    ]
}

catatan

Saat menerapkan paket kesesuaian ke organisasi, nama bucket Amazon S3 pengiriman harus dimulai dengan. awsconfigconforms