Creazione di aggregatori per AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di aggregatori per AWS Config

Puoi usare la AWS Config console o il AWS CLI per creare i tuoi aggregatori. Da qui AWS Config puoi scegliere Aggiungi un account individuale IDs o Aggiungi la mia organizzazione da cui desideri aggregare i dati. Per il momento AWS CLI ci sono due diverse procedure.

Creating Aggregators (Console)

Nella pagina Aggregator, puoi creare un aggregatore specificando l'account IDs o l'organizzazione di origine e le regioni da cui desideri aggregare i dati.

  1. Accedi AWS Management Console e apri la console all'indirizzo. AWS Config https://console.aws.amazon.com/config/

  2. Accedi alla pagina Aggregatori e scegli Crea aggregatore.

  3. Consenti la replica dei dati, autorizza AWS Config a replicare i dati dagli account di origine in un account aggregatore.

    Scegli Consenti AWS Config per replicare i dati dagli account di origine in un account aggregatore. Devi selezionare questa casella di controllo per proseguire con l'aggiunta dell'aggregatore.

  4. Alla voce Aggregator name (Nome aggregatore) digitare un nome per l'aggregatore.

    Il nome dell'aggregatore deve essere un nome univoco con una lunghezza massima di 64 caratteri alfanumerici. Il nome può contenere trattini e caratteri di sottolineatura.

  5. Per Seleziona account di origine, scegli Aggiungi account individuale IDs o Aggiungi la mia organizzazione da cui desideri aggregare i dati.

    Nota

    L'autorizzazione è richiesta quando si utilizza Aggiungi account individuale IDs per selezionare gli account di origine.

    • Se scegli Aggiungi un account individuale IDs, puoi aggiungere un account individuale IDs per un account aggregatore.

      1. Scegli Aggiungi account di origine per aggiungere un accountIDs.

      2. Scegli Aggiungi Account AWS IDs per aggiungere manualmente i caratteri separati da Account AWS IDs virgole. Se desideri aggregare i dati dall'account corrente, digita l'ID account dell'account stesso.

        O

        Scegli Carica un file per caricare un file (.txt o.csv) separato da virgole. Account AWS IDs

      3. Scegliere Add source accounts (Aggiungi account di origine) per confermare la selezione.

    • Scegliendo Add my organization (Aggiungi la mia organizzazione), è possibile aggiungere, a un account di aggregazione, tutti gli account della propria organizzazione.

      Nota

      Devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità. Se il chiamante è un account di gestione, chiama per abilitare l'integrazione tra e. AWS ConfigEnableAwsServiceAccess API AWS Config AWS Organizations Se il chiamante è un amministratore delegato registrato, AWS Config chiama ListDelegatedAdministrators API per verificare se è un amministratore delegato valido.

      Assicurati che l'account di gestione registri l'amministratore delegato per il nome principale del AWS Config servizio (config.amazonaws.com) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta Registrazione di un amministratore delegato per AWS Config.

      Devi assegnare un ruolo per consentire le chiamate in sola lettura per la tua organizzazioneIAM. AWS Config APIs

      1. Scegliere Choose a role from your account (Scegli un ruolo dal tuo account) per selezionare un ruolo IAM esistente.

        Nota

        Nella console IAM, associare la policy AWSConfigRoleForOrganizations gestita al ruolo IAM. Allegare questo criterio consente di AWS Config chiamare AWS Organizations DescribeOrganization, e. ListAWSServiceAccessForOrganization ListAccounts APIs Per impostazione predefinita, config.amazonaws.com viene specificato automaticamente come entità attendibile.

      2. In alternativa, scegli Crea un ruolo e digita un nome per il tuo IAM ruolo per creare il IAM ruolo.

  6. Alla voce Regions (Regioni), scegliere le regioni per cui si desiderano aggregare i dati.

    • Seleziona una o più regioni o tutte le Regioni AWS.

    • Seleziona Includi futuro Regioni AWS per aggregare i dati di tutti i futuri Regioni AWS in cui è abilitata l'aggregazione di dati multi-account e più regioni.

  7. Scegli Salva. AWS Config visualizza l'aggregatore.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. Apri un prompt dei comandi o una finestra del terminale.

  2. Digitare il comando seguente per creare un aggregatore denominato MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Per account-aggregation-sources, immetti uno dei seguenti valori.

    • Un elenco separato da virgole Account AWS IDs per il quale si desidera aggregare i dati. Raccogli l'account IDs tra parentesi quadre e assicurati di evitare le virgolette (ad esempio,). "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    • Puoi anche caricare un JSON file separato da virgole. Account AWS IDs Caricare il file utilizzando la sintassi seguente: --account-aggregation-sources MyFilePath/MyFile.json

      Il JSON file deve essere nel seguente formato:

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. Premere Invio per eseguire il comando.

    Verrà visualizzato un output simile al seguente:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggreagtors using AWS Organizations (AWS CLI)

Prima di avviare questa procedura, devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità.

Nota

Assicurati che l'account di gestione registri un amministratore delegato con entrambi i seguenti nomi principali di AWS Config servizio (config.amazonaws.comeconfig-multiaccountsetup.amazonaws.com) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta Registrazione di un amministratore delegato per AWS Config.

  1. Apri un prompt dei comandi o una finestra del terminale.

  2. Se non hai creato un IAM ruolo per il tuo AWS Config aggregatore, inserisci il seguente comando: 

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    Nota

    Copia l'Amazon Resource Name (ARN) da questo IAM ruolo per utilizzarlo quando crei il tuo AWS Config aggregatore. Puoi trovarlo ARN sull'oggetto di risposta.

  3. Se non hai associato una policy al tuo IAM ruolo, allega la policy AWSConfigRoleForOrganizationsgestita o inserisci il seguente comando: 

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. Digitare il comando seguente per creare un aggregatore denominato MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. Premere Invio per eseguire il comando.

    Verrà visualizzato un output simile al seguente:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}