AWSSupport-SetupConfig - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-SetupConfig

Deskripsi

AWSSupport-SetupConfigRunbook membuat peran terkait layanan AWS Identity and Access Management (IAM), perekam konfigurasi yang didukung olehAWS Config, dan saluran pengiriman dengan bucket Amazon Simple Storage Service (Amazon S3) yang AWS Config mengirimkan snapshot konfigurasi dan file riwayat konfigurasi. Jika Anda menentukan nilai untuk AggregatorAccountId dan AggregatorAccountRegion parameter, runbook juga membuat otorisasi untuk agregasi data untuk mengumpulkan data AWS Config konfigurasi dan kepatuhan dari beberapa dan beberapa. Akun AWS Wilayah AWS Untuk mempelajari lebih lanjut tentang menggabungkan data dari beberapa akun dan Wilayah, lihat Agregasi Data Multi-Wilayah Multi-Akun di Panduan Pengembang. AWS Config

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Jenis: String

    Deskripsi: (Opsional) Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • AggregatorAccountId

    Jenis: String

    Deskripsi: (Opsional) ID Akun AWS tempat agregator akan ditambahkan ke data AWS Config konfigurasi dan kepatuhan agregat dari beberapa akun dan. Wilayah AWS Akun ini juga digunakan oleh agregator untuk mengotorisasi akun sumber.

  • AggregatorAccountRegion

    Jenis: String

    Deskripsi: (Opsional) Wilayah tempat agregator akan ditambahkan ke data AWS Config konfigurasi dan kepatuhan gabungan dari beberapa akun dan Wilayah.

  • IncludeGlobalResourcesRegion

    Jenis: String

    Default: kami-timur-1

    Deskripsi: (Diperlukan) Untuk menghindari perekaman data sumber daya global di setiap Wilayah, tentukan satu Wilayah untuk merekam data sumber daya global.

  • Partition

    Jenis: String

    Default: aws

    Deskripsi: (Diperlukan) Partisi tempat Anda ingin mengumpulkan data AWS Config konfigurasi dan kepatuhan.

  • S3 BucketName

    Jenis: String

    Default: aws-config-delivery-channel

    Deskripsi: (Opsional) Nama yang ingin Anda terapkan ke bucket Amazon S3 yang dibuat untuk saluran pengiriman. ID akun ditambahkan ke akhir nama.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter membutuhkan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:DescribeConfigurationRecorders

  • config:DescribeDeliveryChannels

  • config:PutAggregationAuthorization

  • config:PutConfigurationRecorder

  • config:PutDeliveryChannel

  • config:StartConfigurationRecorder

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • s3:CreateBucket

  • s3:ListAllMyBuckets

  • s3:PutBucketPolicy

Langkah Dokumen

  • aws:executeScript- Membuat peran IAM terkait layanan AWS Config jika seseorang belum ada.

  • aws:executeScript- Membuat perekam konfigurasi jika salah satu belum ada.

  • aws:executeScript- Membuat bucket Amazon S3 untuk digunakan oleh saluran pengiriman jika tidak ada.

  • aws:executeScript- Membuat saluran pengiriman menggunakan sumber daya yang dibuat oleh runbook.

  • aws:executeAwsApi- Mulai perekam konfigurasi.

  • aws:executeScript- Jika Anda menentukan nilai untuk AggregatorAccountId dan AggregatorAccountRegion parameter, otorisasi untuk multi-akun dan agregasi data Multi-wilayah dikonfigurasi.