As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando um agregador usando o AWS Command Line Interface
Você pode criar, visualizar, atualizar e excluir dados AWS Config agregadores usando o AWS Command Line Interface (AWS CLI).
AWS CLI É uma ferramenta unificada para gerenciar seus AWS serviços. Com apenas uma ferramenta para baixar e configurar, você pode controlar vários AWS serviços na linha de comando e usar scripts para automatizá-los. Para obter mais informações sobre o AWS CLI e para obter instruções sobre como instalar as AWS CLI ferramentas, consulte o seguinte no Guia AWS Command Line Interface do usuário.
Se necessário, insira aws configure
para configurar o AWS CLI para usar uma AWS
região em que os agregadores estejam disponíveis.
Tópicos
Adicionar um agregador usando contas individuais
-
Abra um prompt de comando ou uma janela do terminal.
-
Digite o comando a seguir para criar um agregador chamado
MyAggregator
.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"
AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]"Para
account-aggregation-sources
, insira um dos itens a seguir.-
Uma lista separada por vírgulas de Conta da AWS IDs para as quais você deseja agregar dados. Coloque os IDs da conta entre colchetes e não se esqueça de evitar aspas (por exemplo:
"[{\"AccountIds\": [\"
).AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]" -
Você também pode fazer upload de um arquivo JSON de IDs separados por vírgula Conta da AWS . Faça upload do arquivo usando a seguinte sintaxe:
--account-aggregation-sources
MyFilePath/MyFile.json
O arquivo JSON deve estar no seguinte formato:
[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
-
-
Pressione a tecla Enter para executar o comando.
Você deve ver saída semelhante a:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
Adicionar um agregador usando o AWS Organizations
Antes de começar este procedimento, você precisa estar conectado à conta principal ou a um administrador delegado registrado, e todos os recursos devem estar habilitados na sua organização.
nota
Certifique-se de que a conta de gerenciamento registre um administrador delegado com os dois nomes principais de AWS Config serviço a seguir (config.amazonaws.com
econfig-multiaccountsetup.amazonaws.com
) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte Registrar um administrador delegado.
-
Abra um prompt de comando ou uma janela do terminal.
-
Se não tiver criado uma função do IAM para seu AWS Config agregador, insira o seguinte comando:
aws iam create-role --role-name
OrgConfigRole
--assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"nota
Copie o Amazon Resource Name (ARN) dessa função do IAM para uso ao criar seu AWS Config agregador. É possível encontrar o ARN no objeto de resposta.
-
Se não tiver anexado uma política à sua função do IAM, anexe a política AWSConfigRoleForOrganizationsgerenciada ou digite o seguinte comando:
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
-
Digite o comando a seguir para criar um agregador chamado
MyAggregator
.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"
Complete-Arn
\",\"AllAwsRegions\": true}" -
Pressione a tecla Enter para executar o comando.
Você deve ver saída semelhante a:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume
:role/name-of-role
" }, "LastUpdatedTime": 1517942461.442 } }
Registrar um administrador delegado
Administradores delegados são contas dentro de uma determinada AWS organização que recebem privilégios administrativos adicionais para um serviço específico. AWS
-
Faça login com as credenciais da conta de gerenciamento.
-
Abra um prompt de comando ou uma janela do terminal.
-
Insira o comando a seguir para habilitar o acesso ao serviço como administrador delegado da sua organização para implantar e gerenciar AWS Config regras e pacotes de conformidade em toda a organização:
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
-
Insira o comando a seguir para habilitar o acesso ao serviço como administrador delegado da sua organização para agregar AWS Config dados em toda a organização:
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
-
Para conferir se a habilitação do acesso ao serviço foi concluída, digite o comando a seguir e pressione Enter para executar o comando.
aws organizations list-aws-service-access-for-organization
Você deve ver saída semelhante a:
{ "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] }
-
Depois, digite o comando a seguir para registrar uma conta de membro como administrador delegado para AWS Config.
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id
MemberAccountID
e
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id
MemberAccountID
-
Para conferir se o registro do administrador delegado foi concluído, digite o comando a seguir na conta de gerenciamento e pressione Enter para executar o comando.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
e
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
Você deve ver saída semelhante a:
{ "DelegatedAdministrators": [ { "Id": "
MemberAccountID
", "Arn": "arn:aws:organizations::MemberAccountID
:account/o-c7esubdi38/MemberAccountID
", "Email": "name
@amazon.com", "Name": "name
", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp": 1604867734.48, "DelegationEnabledDate": 1607020986.801 } ] }
Visualizar um agregador
-
Digite o comando :
aws configservice describe-configuration-aggregators
-
Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:
Para contas individuais
{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }OU
Para uma organização
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume
:role/name-of-role
" }, "LastUpdatedTime": 1517942461.442 } }
Editar um agregador
-
Você pode usar o comando
put-configuration-aggregator
para atualizar ou editar um agregador de configuração.Digite o seguinte comando para adicionar um novo ID de conta a
MyAggregator
:aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"
AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]" -
Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:
Para contas individuais
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 } }OU
Para uma organização
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume
:role/name-of-role
" }, "LastUpdatedTime": 1517942461.442 } }
Excluir um agregador
Digite o comando :
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
Se for bem sucedido, o comando será executado sem saída adicional.