As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento AWS Config Regras em todas as contas da sua organização
Importante
As regras organizacionais só podem ser criadas usando o API ouCLI. Esta operação não é suportada no AWS Config console.
AWS Config permite que você gerencie AWS Config regras em todos Contas da AWS dentro de uma organização. É possível:
-
Crie, atualize e exclua centralmente AWS Config regras em todas as contas da sua organização.
-
Implante um conjunto comum de AWS Config regras em todas as contas e especifique contas onde AWS Config regras não devem ser criadas.
-
Use o APIs da conta de gerenciamento em AWS Organizations para impor a governança, garantindo que o subjacente AWS Config as regras não podem ser modificadas pelas contas dos membros da sua organização.
Considerações
Para implantações em diferentes regiões
A necessidade API de implantar regras e pacotes de conformidade em todas as contas é AWS Região específica. No nível da organização, você precisa alterar o contexto da sua API chamada para uma região diferente se quiser implantar regras em outras regiões. Por exemplo, para implantar uma regra no Leste dos EUA (Norte da Virgínia), altere a região para Leste dos EUA (Norte da Virgínia) e depois chame PutOrganizationConfigRule.
Para contas dentro de uma organização
Se uma nova conta entrar em uma organização, o pacote de regras ou conformidade será implantado nessa conta. Quando uma conta sai de uma organização, o pacote de regras ou conformidade é removido.
Se você implantar uma regra organizacional ou pacote de conformidade em uma conta de administrador da organização e, em seguida, estabelecer um administrador delegado e implantar uma regra organizacional ou pacote de conformidade na conta do administrador delegado, você não poderá ver a regra organizacional ou o pacote de conformidade na conta do administrador da organização a partir da conta do administrador delegado ou ver a regra organizacional ou o pacote de conformidade na conta do administrador delegado da conta do administrador da organização. O DescribeOrganizationConfigRulese só DescribeOrganizationConformancePacksAPIspode ver e interagir com os recursos relacionados à organização que foram implantados de dentro da conta que os chama. APIs
Mecanismo de repetição para novas contas adicionadas a uma organização
A implantação de regras organizacionais e pacotes de conformidade existentes só será repetida por sete horas após a adição de uma conta à sua organização se um gravador não estiver disponível. Espera-se que você crie um gravador, se não houver um dentro de sete horas após a adição de uma conta à sua organização.
Contas de gerenciamento da organização, administradores delegados e funções vinculadas a serviços
Se você estiver usando uma conta de gerenciamento da organização e pretende usar um administrador delegado para implantação organizacional, saiba que AWS Config não criará automaticamente a função vinculada ao serviço ()SLR. Você deve criar manualmente a função vinculada ao serviço (SLR) separadamente usando. IAM
Se você não tiver uma SLR para sua conta de gerenciamento, não poderá implantar recursos nessa conta a partir de uma conta de administrador delegado. Você ainda poderá implantar AWS Config regras para contas de membros a partir de contas gerenciais e de administrador delegado. Para obter mais informações, consulte Usando funções vinculadas a serviços no AWS Identity and Access Management (IAM) Guia do usuário.
Implantação
Para obter informações sobre como integrar AWS Config with AWS Organizations, veja AWS Config e AWS Organizations no AWS Organizations Guia do usuário. Garanta o seguinte: AWS Config a gravação está ativada antes de você usar o seguinte APIs para gerenciar AWS Config regras em todos Contas da AWS dentro de uma organização:
-
PutOrganizationConfigRule, adiciona ou atualiza a regra de configuração da organização para toda a sua organização, avaliando se seu AWS os recursos estão em conformidade com as configurações desejadas.
-
DescribeOrganizationConfigRules, retorna uma lista das regras de configuração da organização.
-
GetOrganizationConfigRuleDetailedStatus, retorna o status detalhado de cada conta membro em uma organização para uma determinada regra de configuração da organização.
-
GetOrganizationCustomRulePolicy, retorna a definição da política contendo a lógica da regra de política personalizada de configuração da sua organização.
-
DescribeOrganizationConfigRuleStatuses, fornece o status de implantação da regra de configuração da organização para uma organização.
-
DeleteOrganizationConfigRule, exclui a regra de configuração da organização especificada e todos os resultados da avaliação de todas as contas membros dessa organização.
Suporte regional
Implantação AWS Config Regras entre contas de membros em um AWS A organização é suportada nas seguintes regiões.
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
