As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando AWS Config regras em todas as contas da sua organização
Importante
As regras organizacionais só podem ser criadas usando o API ouCLI. Essa operação não é suportada no AWS Config console.
AWS Config permite que você gerencie AWS Config regras Contas da AWS em toda a organização. É possível:
-
Crie, atualize e exclua AWS Config regras de forma centralizada em todas as contas da sua organização.
-
Implante um conjunto comum de AWS Config regras em todas as contas e especifique contas nas quais AWS Config as regras não devem ser criadas.
-
Use o APIs da conta de gerenciamento AWS Organizations para impor a governança, garantindo que as AWS Config regras subjacentes não possam ser modificadas pelas contas dos membros da sua organização.
Considerações
Para implantações em diferentes regiões
A necessidade API de implantar regras e pacotes de conformidade em todas as contas é AWS específica da região. No nível da organização, você precisa alterar o contexto da sua API chamada para uma região diferente se quiser implantar regras em outras regiões. Por exemplo, para implantar uma regra no Leste dos EUA (Norte da Virgínia), altere a região para Leste dos EUA (Norte da Virgínia) e depois chame PutOrganizationConfigRule
.
Para contas dentro de uma organização
Se uma nova conta entrar em uma organização, o pacote de regras ou conformidade será implantado nessa conta. Quando uma conta sai de uma organização, o pacote de regras ou conformidade é removido.
Se você implantar uma regra organizacional ou pacote de conformidade em uma conta de administrador da organização e, em seguida, estabelecer um administrador delegado e implantar uma regra organizacional ou pacote de conformidade na conta do administrador delegado, você não poderá ver a regra organizacional ou o pacote de conformidade na conta do administrador da organização a partir da conta do administrador delegado ou ver a regra organizacional ou o pacote de conformidade na conta do administrador delegado da conta do administrador da organização. O DescribeOrganizationConfigRulese só DescribeOrganizationConformancePacksAPIspode ver e interagir com os recursos relacionados à organização que foram implantados de dentro da conta que os chama. APIs
Mecanismo de repetição para novas contas adicionadas a uma organização
A implantação de regras organizacionais e pacotes de conformidade existentes só será repetida por sete horas após a adição de uma conta à sua organização se um gravador não estiver disponível. Espera-se que você crie um gravador, se não houver um dentro de sete horas após a adição de uma conta à sua organização.
Contas de gerenciamento da organização, administradores delegados e funções vinculadas a serviços
Se você estiver usando uma conta de gerenciamento da organização e pretende usar um administrador delegado para implantação organizacional, saiba que AWS Config não criará automaticamente a função vinculada ao serviço (). SLR Você deve criar manualmente a função vinculada ao serviço (SLR) separadamente usando. IAM
Se você não tiver uma SLR para sua conta de gerenciamento, não poderá implantar recursos nessa conta a partir de uma conta de administrador delegado. Você ainda poderá implantar AWS Config regras nas contas dos membros a partir das contas de gerenciamento e de administrador delegado. Para obter mais informações, consulte Usando funções vinculadas ao serviço no Guia do usuário AWS Identity and Access Management (IAM).
Implantação
Para obter informações sobre como integrar AWS Config com AWS Organizations, consulte AWS Config e AWS Organizations no Guia do AWS Organizations usuário. Certifique-se AWS Config de que a gravação esteja ativada antes de usar o seguinte APIs para gerenciar AWS Config as regras Contas da AWS em toda a organização:
-
PutOrganizationConfigRule, adiciona ou atualiza a regra de configuração da organização para toda a organização, avaliando se seus AWS recursos estão em conformidade com as configurações desejadas.
-
DescribeOrganizationConfigRules, retorna uma lista das regras de configuração da organização.
-
GetOrganizationConfigRuleDetailedStatus, retorna o status detalhado de cada conta membro dentro de uma organização para uma determinada regra de configuração da organização.
-
GetOrganizationCustomRulePolicy, retorna a definição da política contendo a lógica da regra de política personalizada de configuração da sua organização.
-
DescribeOrganizationConfigRuleStatuses, fornece o status de implantação da regra de configuração da organização para uma organização.
-
DeleteOrganizationConfigRule, exclui a regra de configuração da organização especificada e todos os resultados da avaliação de todas as contas membros dessa organização.
Suporte regional
A implantação de AWS Config regras em contas de membros em uma AWS organização é suportada nas seguintes regiões.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Oriente Médio (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |