Configurar um agregador usando a AWS Command Line Interface - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um agregador usando a AWS Command Line Interface

Você pode criar, exibir, atualizar e excluir dados do agregador do AWS Config usando a AWS Command Line Interface (AWS CLI).

O AWS CLI é uma ferramenta unificada para gerenciar seus serviços da AWS. Com apenas uma ferramenta para baixar e configurar, você pode controlar vários serviços da AWS pela linha de comando e usar scripts automatizá-los. Para obter mais informações sobre a AWS CLI e para obter instruções sobre como instalar as ferramentas da AWS CLI, consulte o seguinte no AWS Command Line Interface Guia do usuário.

Se necessário, digite aws configure para configurar a AWS CLI para usar uma região da AWS onde os agregadores do AWS Config estão disponíveis.

Adicionar um agregador usando contas individuais

  1. Abra um prompt de comando ou uma janela do terminal.

  2. Digite o comando a seguir para criar um agregador chamado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Para account-aggregation-sources, insira um dos itens a seguir.

    • Uma lista separada por vírgulas dos IDs de conta da AWS aos quais você deseja agregar dados. Coloque os IDs da conta entre colchetes e não se esqueça de evitar aspas (por exemplo: "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • Você também pode fazer upload de um arquivo JSON dos IDs de conta da AWS separados por vírgula. Faça upload do arquivo usando a seguinte sintaxe: --account-aggregation-sources MyFilePath/MyFile.json

      O arquivo JSON deve estar no seguinte formato:

    [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
  3. Pressione a tecla Enter para executar o comando.

    Você deve ver saída semelhante a:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }

Adicionar um agregador usando o AWS Organizations

Antes de começar este procedimento, você precisa estar conectado à conta principal ou a um administrador delegado registrado, e todos os recursos devem estar habilitados na sua organização.

nota

Certifique-se de que a conta de gerenciamento registre um administrador delegado com os dois nomes da entidade principal de serviço do AWS Config (config.amazonaws.com e config-multiaccountsetup.amazonaws.com) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte Registrar um administrador delegado.

  1. Abra um prompt de comando ou uma janela do terminal.

  2. Se não tiver criado um perfil do IAM para o agregador do AWS Config, digite o seguinte comando:

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    nota

    Copie o nome de recurso da Amazon (ARN) desse perfil do IAM a ser usado ao criar seu agregador do AWS Config. É possível encontrar o ARN no objeto de resposta.

  3. Se não tiver anexado uma política à sua função do IAM, anexe a política AWSConfigRoleForOrganizationsgerenciada ou digite o seguinte comando:

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document "{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}
  4. Digite o comando a seguir para criar um agregador chamado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
  5. Pressione a tecla Enter para executar o comando.

    Você deve ver saída semelhante a:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Registrar um administrador delegado

Administradores delegados são contas dentro de um determinado AWS Organization que recebem privilégios administrativos adicionais para um serviço da AWS específico.

  1. Faça login com as credenciais da conta de gerenciamento.

  2. Abra um prompt de comando ou uma janela do terminal.

  3. Digite o seguinte comando para habilitar o acesso ao serviço como administrador delegado para que a organização implante e gerencie regras e pacotes de conformidade do AWS Config em toda a organização:

    aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
  4. Digite o seguinte comando para habilitar o acesso ao serviço como administrador delegado da organização para agregar dados do AWS Config em toda a organização:

    aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
  5. Para conferir se a habilitação do acesso ao serviço foi concluída, digite o comando a seguir e pressione Enter para executar o comando.

    aws organizations list-aws-service-access-for-organization

    Você deve ver saída semelhante a:

    { "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] }
  6. Depois, digite o comando a seguir para registrar uma conta de membro como administrador delegado para AWS Config.

    aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID

    e

    aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
  7. Para conferir se o registro do administrador delegado foi concluído, digite o comando a seguir na conta de gerenciamento e pressione Enter para executar o comando.

    aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

    e

    aws organizations list-delegated-administrators --service-principal=config.amazonaws.com

    Você deve ver saída semelhante a:

    { "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::MemberAccountID:account/o-c7esubdi38/MemberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp": 1604867734.48, "DelegationEnabledDate": 1607020986.801 } ] }

Visualizar um agregador

  1. Digite o comando :

    aws configservice describe-configuration-aggregators
  2. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:

    Para contas individuais

    { "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }

    OU

    Para uma organização

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Editar um agregador

  1. Você pode usar o comando put-configuration-aggregator para atualizar ou editar um agregador de configuração.

    Digite o seguinte comando para adicionar um novo ID de conta a MyAggregator:

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
  2. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:

    Para contas individuais

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 } }

    OU

    Para uma organização

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Excluir um agregador

Para excluir um agregador de configurações usando a AWS CLI
  • Digite o comando :

    aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator

    Se for bem sucedido, o comando será executado sem saída adicional.

Saiba mais