As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciar pacotes de conformidade em todas as contas na organização
Use AWS Config para gerenciar pacotes de conformidade em toda a Contas da AWS organização. Você pode fazer o seguinte:
-
Implantar, atualizar e excluir pacotes de conformidade de forma centralizada em todas as contas-membro de uma organização no AWS Organizations.
-
Implante um conjunto comum de AWS Config regras e ações de remediação em todas as contas e especifique as contas nas quais AWS Config as regras e ações de remediação não devem ser criadas.
-
Use a conta de gerenciamento AWS Organizations para impor a governança, garantindo que AWS Config as regras subjacentes e as ações de remediação não possam ser modificadas pelas contas dos membros de sua organização.
Considerações
Para implantações em diferentes regiões
A chamada de API para implantar regras e pacotes de conformidade em todas as contas é AWS específica da região. No nível da organização, você precisa alterar o contexto da sua chamada de API para uma região diferente se quiser implantar regras em outras regiões. Por exemplo, para implantar uma regra no Leste dos EUA (Norte da Virgínia), altere a região para Leste dos EUA (Norte da Virgínia) e depois chame PutOrganizationConfigRule
.
Para contas dentro de uma organização
Se uma nova conta entrar em uma organização, o pacote de regras ou conformidade será implantado nessa conta. Quando uma conta sai de uma organização, o pacote de regras ou conformidade é removido.
Se você implantar uma regra organizacional ou pacote de conformidade em uma conta de administrador da organização e, em seguida, estabelecer um administrador delegado e implantar uma regra organizacional ou pacote de conformidade na conta do administrador delegado, você não poderá ver a regra organizacional ou o pacote de conformidade na conta do administrador da organização a partir da conta do administrador delegado ou ver a regra organizacional ou o pacote de conformidade na conta do administrador delegado da conta do administrador da organização. As DescribeOrganizationConformancePacksAPIs DescribeOrganizationConfigRulese só podem ver e interagir com os recursos relacionados à organização que foram implantados de dentro da conta que chama essas APIs.
Mecanismo de repetição para novas contas adicionadas a uma organização
A implantação de regras organizacionais e pacotes de conformidade existentes só será repetida por sete horas após a adição de uma conta à sua organização se um gravador não estiver disponível. Espera-se que você crie um gravador, se não houver um dentro de sete horas após a adição de uma conta à sua organização.
Contas de gerenciamento da organização, administradores delegados e funções vinculadas a serviços
Se você estiver usando uma conta de gerenciamento da organização e pretende usar um administrador delegado para implantação organizacional, saiba que AWS Config não criará automaticamente a função vinculada ao serviço (SLR). Você deve criar manualmente a função vinculada ao serviço (SLR) separadamente usando o IAM.
Se você não tiver uma SLR para sua conta de gerenciamento, não poderá implantar recursos nessa conta a partir de uma conta de administrador delegado. Você ainda poderá implantar pacotes de conformidade nas contas dos membros a partir das contas de gerenciamento e de administrador delegado. Para obter mais informações, consulte Como usar funções vinculadas ao serviço no Guia do usuário AWS Identity and Access Management (IAM).
Implantação
Suporte regional
A implantação de pacotes de conformidade nas contas dos membros de uma AWS organização é suportada nas seguintes regiões.
Nome da região | Região | Endpoint | Protocolo |
---|---|---|---|
Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |