Prerequisiti - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Prima di distribuire il pacchetto di conformità, accendiAWS Configregistrazione.

Avvio delleAWS ConfigRegistrazione

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. Scegliere Settings (Impostazioni) nel riquadro di navigazione.

  3. Per avviare la registrazione, sottoLa registrazione è disattivata, scegliAttivare. Quando richiesto, scegliContinua.

Prerequisiti per l'utilizzo di un pacchetto di conformità con correzione

Prima di distribuire i pacchetti di conformità utilizzando i modelli di esempio con correzione, è necessario creare le risorse appropriate come il ruolo di assunzione di automazione e altro.AWSrisorse basate sul tuo obiettivo di riparazione.

Se hai un ruolo di automazione esistente che usi per la correzione con i documenti SSM, puoi fornire direttamente l'ARN del ruolo. Se hai risorse puoi specificarle nel modello.

AWS Config non supporta le funzioni AWS CloudFormation intrinseche per il ruolo di esecuzione di automazione. È necessario fornire l'ARN esatto del ruolo come stringa.

Per ulteriori informazioni su come passare l'ARN esatto, consulta Modelli di esempio di pacchetto di conformità. Quando usi i modelli di esempio, aggiorna l'ID account e l'ID account master per l'organizzazione.

Prerequisiti per l'utilizzo di un pacchetto di conformità con una o più regole AWS Config

Prima di distribuire un pacchetto di conformità con una o più regole AWS Config personalizzate, crea le risorse appropriate come la funzione AWS Lambda e il ruolo di esecuzione corrispondente.

Se hai una regola AWS Config personalizzata esistente, puoi fornire direttamente l'ARN della funzione AWS Lambda per creare un'altra istanza della regola personalizzata come parte del pacchetto.

Se non disponi di una personalizzazione esistenteAWS Configregola, è possibile creare unAWS Lambdautilizzare l'ARN della funzione Lambda. Per ulteriori informazioni, consulta la pagina Regole AWS Config personalizzate .

Se le ricette diAWS Lambdala funzione è presente in un altroAccount AWS, è possibile creareAWS Configregole con account appropriatoAWS Lambdaautorizzazione della funzione. Per ulteriori informazioni, consultaCome gestire centralmenteAWS ConfigRegole multipleAccount AWSpost di blog.

Politica dello stesso bucket account:

PerAWS Configper poter archiviare gli artefatti del pacchetto di conformità, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni su come assegnare i nomi del bucket, consultaRegole di denominazione dei bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::delivery-bucket-name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": " AWSConfigConformsBucketReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*" } ] }

Politica del bucket multiaccount:

PerAWS Configper poter archiviare gli artefatti del pacchetto di conformità, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni su come assegnare i nomi del bucket, consultaRegole di denominazione dei bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigConformsBucketPermissionsCheck", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms", "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName " ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name" }, { "Sid": "AWSConfigConformsBucketDelivery", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": " AWSConfigConformsBucketReadAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" ] }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*" } ] }
Nota

Quando si distribuiscono pacchetti di conformità tra account, il nome del bucket Amazon S3 di consegna dovrebbe iniziare conawsconfigconforms.

Prerequisiti per i pacchetti di conformità dell'organizzazione

Specifica l'ARN di un ruolo di esecuzione di automazione per la correzione nel modello se il modello di input hai una configurazione di correzione automatica. Assicurati che un ruolo con il nome specificato esista in tutti gli account (master e membro) di un'organizzazione. È necessario creare questo ruolo in tutti gli account prima di chiamare PutOrganizationConformancePack. Puoi creare questo ruolo manualmente o utilizzare i set di stack AWS CloudFormation per creare questo ruolo in ogni account.

Se il modello utilizza la funzione AWS CloudFormation intrinseca Fn::ImportValue per importare una determinata variabile, tale variabile deve essere definita come un Export Value in tutti gli account membro di tale organizzazione.

Personalizza ilAWS Configregola, vediCome gestire centralmenteAWS ConfigRegole multipleAccount AWSblog per configurare le autorizzazioni appropriate.

Politica del bucket dell'organizzazione:

PerAWS Configper poter archiviare gli artefatti del pacchetto di conformità, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni su come assegnare i nomi del bucket, consultaRegole di denominazione dei bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } }, { "Sid": "AllowGetBucketAcl", "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } } ] }
Nota

Quando si distribuiscono pacchetti di conformità a un'organizzazione, dovrebbe iniziare il nome del bucket Amazon S3 di consegnaawsconfigconforms.