Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti
Prima di implementare il pacchetto di conformità, attiva la registrazione. AWS Config
Inizia la registrazione AWS Config
Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/
. -
Scegliere Settings (Impostazioni) nel riquadro di navigazione.
-
Per iniziare la registrazione, in La registrazione è disattivata, scegli Attiva. Quando richiesto, scegli Continua.
Prerequisiti per l'utilizzo di un pacchetto di conformità con correzione
Prima di distribuire pacchetti di conformità utilizzando modelli di esempio con correzione, è necessario creare risorse appropriate, come Automation Assume Role e altre AWS risorse, in base all'obiettivo di correzione.
Se hai un ruolo di automazione esistente che usi per la correzione con i documenti SSM, puoi fornire direttamente l'ARN del ruolo. Se hai risorse puoi specificarle nel modello.
Nota
Quando si distribuisce un pacchetto di conformità con correzione in un'organizzazione, è necessario specificare l'ID dell'account di gestione dell'organizzazione. In caso contrario, durante la distribuzione dell'Organizational Conformance Pack AWS Config sostituisce automaticamente l'ID dell'account di gestione con l'ID dell'account membro.
AWS Config non supporta le funzioni AWS CloudFormation intrinseche per il ruolo di esecuzione di automazione. È necessario fornire l'ARN esatto del ruolo come stringa.
Per ulteriori informazioni su come passare l'ARN esatto, consulta Modelli di esempio di pacchetto di conformità. Utilizzando modelli di esempio, aggiorna l'ID account e l'ID dell'account di gestione per l'organizzazione.
Prerequisiti per l'utilizzo di un pacchetto di conformità con una o più regole AWS Config
Prima di distribuire un pacchetto di conformità con una o più regole AWS Config personalizzate, crea le risorse appropriate come la funzione AWS Lambda e il ruolo di esecuzione corrispondente.
Se hai una regola AWS Config personalizzata esistente, puoi fornire direttamente l'ARN della funzione AWS Lambda per creare un'altra istanza della regola personalizzata come parte del pacchetto.
Se non disponi di una AWS Config regola personalizzata esistente, puoi creare una AWS Lambda funzione e utilizzare l'ARN della funzione Lambda. Per ulteriori informazioni, consulta Regole AWS Config personalizzate.
Se la AWS Lambda funzione è presente in un altro accountAccount AWS, è possibile creare AWS Config regole con l'autorizzazione appropriata della funzione tra accountAWS Lambda. Per ulteriori informazioni, consulta Come gestire centralmente AWS Config le regole in più
Stessa politica sull'account bucket:
AWS ConfigPer poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione del bucket, consulta Regole di denominazione dei bucket.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::delivery-bucket-name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
Politica sui bucket tra account:
AWS ConfigPer poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione del bucket, consulta Regole di denominazione dei bucket.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms", "PutConformancePack API caller user principallike arn:aws:iam::SourceAccountId:user/userName" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": " AWSConfigConformsBucketReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*" } ] }
Nota
Quando si distribuiscono pacchetti di conformità per più account, il nome del bucket di consegna Amazon S3 dovrebbe iniziare con. awsconfigconforms
Prerequisiti per i pacchetti di conformità dell'organizzazione
Specifica l'ARN di un ruolo di esecuzione di automazione per la correzione nel modello se il modello di input hai una configurazione di correzione automatica. Assicurati che esista un ruolo con il nome specificato in tutti gli account (gestione e membro) di un'organizzazione. È necessario creare questo ruolo in tutti gli account prima di chiamare PutOrganizationConformancePack. Puoi creare questo ruolo manualmente o utilizzare i set di stack AWS CloudFormation per creare questo ruolo in ogni account.
Se il modello utilizza la funzione AWS CloudFormation intrinseca Fn::ImportValue per importare una determinata variabile, tale variabile deve essere definita come un Export
Value in tutti gli account membro di tale organizzazione.
Per le AWS Config regole personalizzate, vedi Come gestire centralmente AWS Config le regole su più Account AWS
Politica Organization Bucket:
AWS ConfigPer poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione del bucket, consulta Regole di denominazione dei bucket.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } }, { "Sid": "AllowGetBucketAcl", "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } } ] }
Nota
Quando si distribuiscono pacchetti di conformità in un'organizzazione, il nome del bucket di consegna Amazon S3 dovrebbe iniziare con. awsconfigconforms
