Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione AWS Config delle regole per tutti gli account dell'organizzazione
Importante
Le regole organizzative possono essere create soltanto tramite l'API o l'interfaccia a riga di comando. Questa operazione non è supportata nella AWS Config console.
AWS Config consente di gestire AWS Config le regole per tutti gli AWS account all'interno di un'organizzazione. È possibile:
-
Crea, aggiorna ed elimina AWS Config le regole in modo centralizzato per tutti gli account dell'organizzazione.
-
Implementa un insieme comune di AWS Config regole per tutti gli account e specifica gli account in cui AWS Config le regole non devono essere create.
-
Utilizza le API dell'account di gestione AWS Organizations per applicare la governance assicurandoti che le AWS Config regole sottostanti non siano modificabili dagli account dei membri dell'organizzazione.
Nota
Per le implementazioni in diverse regioni
La chiamata API per l'implementazione di regole e pacchetti di conformità tra gli account è specifica della regione. A livello di organizzazione, è necessario modificare il contesto della chiamata API su un'altra regione se desideri implementare le regole in altre regioni. Ad esempio, per implementare una regola negli Stati Uniti orientali (Virginia settentrionale), modifica la regione in Stati Uniti orientali (Virginia settentrionale) e quindi chiama PutOrganizationConfigRule.
Per gli account all'interno di un'organizzazione
Se un nuovo account entra a far parte di un'organizzazione, la regola o il pacchetto di conformità vengono implementati in quell'account. Quando un account lascia un'organizzazione, la regola o il pacchetto di conformità vengono rimossi.
Se implementi una regola o un pacchetto di conformità organizzativi in un account amministratore dell'organizzazione e quindi stabilisci un amministratore delegato e implementi una regola o un pacchetto di conformità organizzativi nell'account amministratore delegato, non potrai visualizzare la regola o il pacchetto di conformità organizzativi nell'account amministratore dell'organizzazione dall'account amministratore delegato o visualizzare la regola o il pacchetto di conformità organizzativi nell'account amministratore delegato dall'account amministratore dell'organizzazione. Le DescribeOrganizationConformancePacksAPI DescribeOrganizationConfigRulese possono solo visualizzare e interagire con le risorse relative all'organizzazione che sono state distribuite all'interno dell'account che chiama tali API.
Meccanismo di tentativi per i nuovi account aggiunti a un'organizzazione
Se non è disponibile un registratore, l'implementazione delle regole e dei pacchetti di conformità organizzativi esistenti viene ritentata solo per 7 ore dopo l'aggiunta di un account all'organizzazione. È necessario creare un registratore, se non ne esiste uno, entro 7 ore dall'aggiunta di un account all'organizzazione.
Assicurati che AWS Config la registrazione sia attiva prima di utilizzare le seguenti API per gestire le AWS Config regole di tutti gli account all'interno di un'organizzazione: AWS
-
PutOrganizationConfigRule, aggiunge o aggiorna la regola di configurazione dell'organizzazione per l'intera organizzazione, valutando se le AWS risorse sono conformi alle configurazioni desiderate.
-
DescribeOrganizationConfigRules, restituisce un elenco di regole di configurazione dell'organizzazione.
-
GetOrganizationConfigRuleDetailedStatus, restituisce lo stato dettagliato di ogni account membro all'interno di un'organizzazione per una determinata regola di configurazione dell'organizzazione.
-
GetOrganizationCustomRulePolicy, restituisce la definizione della politica contenente la logica per la regola di politica personalizzata di configurazione dell'organizzazione.
-
DescribeOrganizationConfigRuleStatuses, fornisce lo stato di implementazione delle regole di configurazione dell'organizzazione per un'organizzazione.
-
DeleteOrganizationConfigRule, elimina la regola di configurazione dell'organizzazione specificata e tutti i relativi risultati di valutazione da tutti gli account membri dell'organizzazione.
Supporto nelle regioni
La distribuzione AWS Config delle regole tra gli account dei membri di un' AWS organizzazione è supportata nelle seguenti regioni.
| Nome della regione | Regione | Endpoint | Protocollo |
|---|---|---|---|
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asia Pacifico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacifico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia Pacifico (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Singapore) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacifico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Centrale) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Francoforte) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londra) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Parigi) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Stoccolma) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Sud America (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Nota
AWS GovCloud (US) Limitazioni
Se utilizzi un account di gestione dell'organizzazione negli AWS GovCloud Stati Uniti orientali e negli Stati Uniti occidentali e intendi utilizzare un amministratore delegato per la distribuzione organizzativa, tieni presente che ciò AWS Config non creerà automaticamente il ruolo collegato al servizio AWS GovCloud (SLR). Per queste regioni, è necessario creare manualmente il ruolo collegato al servizio (SLR) separatamente utilizzando IAM.
Se non disponi di una reflex per il tuo account di gestione, non sarai in grado di distribuire risorse su quell'account da un account amministratore delegato. Sarete comunque in grado di distribuire AWS Config le regole agli account dei membri dagli account di gestione e dagli account di amministratore delegato. Per ulteriori informazioni, consulta Using service-linked roles nella Guida per l'utente AWS Identity and Access Management (IAM).
