Configurar um agregador usando a AWS Command Line Interface - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um agregador usando a AWS Command Line Interface

Você pode criar, exibir, atualizar e excluir dados do agregador do AWS Config usando a AWS Command Line Interface (AWS CLI).

O AWS CLI é uma ferramenta unificada para gerenciar seus serviços da AWS. Com apenas uma ferramenta para baixar e configurar, você pode controlar vários serviços da AWS pela linha de comando e usar scripts automatizá-los. Para obter mais informações sobre oAWS CLI e para obter instruções sobre como instalar asAWS CLI ferramentas, consulte o seguinte no GuiaAWS Command Line Interface do usuário.

Se necessário, digite aws configure para configurar a AWS CLI para usar uma região da AWS onde os agregadores do AWS Config estão disponíveis.

Adicionar um agregador usando contas individuais

  1. Abra um prompt de comando ou uma janela do terminal.

  2. Digite o comando a seguir para criar um agregador chamado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Para account-aggregation-sources, digite um dos seguintes.

    • Uma lista separada por vírgulas dos IDs de conta da AWS aos quais você deseja agregar dados. Coloque os IDs da conta entre colchetes e não se esqueça de evitar aspas (por exemplo: "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • Você também pode fazer upload de um arquivo JSON dos IDs de conta da AWS separados por vírgula. Faça upload do arquivo usando a seguinte sintaxe: --account-aggregation-sources MyFilePath/MyFile.json

      O arquivo JSON deve estar no seguinte formato:

    [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
  3. Pressione a tecla Enter para executar o comando.

    Você deve ver saída semelhante a:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }

Adicionar um agregador usandoAWS Organizations

Antes de iniciar esse procedimento, você deve estar conectado à conta de gerenciamento ou a um administrador delegado registrado e todos os recursos devem estar habilitados em sua organização.

nota

Certifique-se de que a conta de gerenciamento registre um administrador delegado com os seguintes nomes principais deAWS Config serviço (config.amazonaws.comeconfig-multiaccountsetup.amazonaws.com) antes que o administrador delegado crie um agregador. registrar um administrador delegdelegado delegado delegado delegado do administrador delegadoRegistre um administrador delegado delegado delegado deleg delegado deleg

  1. Abra um prompt de comando ou uma janela do terminal.

  2. Se você não tiver criado uma função do IAM para seuAWS Config agregador, digite o seguinte comando:

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    nota

    Copie o nome do recurso da Amazon (ARN) dessa função do IAM a ser usado superiores ao criar seuAWS Config agregador. Você pode encontrar os ARNAllows no objeto de resposta.

  3. Digite o comando a seguir para criar um agregador chamado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
  4. Pressione a tecla Enter para executar o comando.

    Você deve ver saída semelhante a:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Registre um administrador delegado delegado delegado deleg

Administradores delegados são contas dentro de uma determinadaAWS organização às quais são concedidos privilégios administrativos adicionais para umAWS serviço específico.

  1. Registre o login com as credenciais da conta de gerenciamento.

  2. Abra um prompt de comando ou uma janela do terminal.

  3. Digite o comando a seguir para habilitar o acesso ao serviço como administrador delegado para que sua organização implante e gerencieAWS Config regras e pacotes de conformidade em sua organização:

    aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
  4. Digite o comando a seguir para habilitar o acesso ao serviço como administrador delegado de sua organização para agregarAWS Config dados em toda a sua organização:

    aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
  5. Para verificar se a ativação do acesso ao serviço foi concluída, digite o comando a seguir e pressione Enter para executar o comando.

    aws organizations list-aws-service-access-for-organization

    Você deve ver saída semelhante a:

    { "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] }
  6. Em seguida, Registre o comando a seguir de registrar uma conta-membro como administrador delegado delegado de um membro delegado delegado do membro delegado do membroAWS Config delegado do

    aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID

    e

    aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
  7. Para verificar se o registro do administrador delegado foi concluído, digite o seguinte comando na conta de gerenciamento e pressione Enter para executar o comando.

    aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

    e

    aws organizations list-delegated-administrators --service-principal=config.amazonaws.com

    Você deve ver saída semelhante a:

    { "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::MemeberAccountID:account/o-c7esubdi38/MemeberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp": 1604867734.48, "DelegationEnabledDate": 1607020986.801 } ] }

Visualizar um agregador

  1. Digite o seguinte comando:

    aws configservice describe-configuration-aggregators
  2. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:

    Para contas individuais

    { "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }

    OU

    Para uma organização

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Editar um agregador

  1. Você pode usar o comando put-configuration-aggregator para atualizar ou editar um agregador de configuração.

    Digite o seguinte comando para adicionar um novo ID de conta a MyAggregator:

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
  2. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:

    Para contas individuais

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 } }

    OU

    Para uma organização

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }

Excluir um agregador

Para excluir um agregador de configurações usando a AWS CLI
  • Digite o seguinte comando:

    aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator

    Se for bem sucedido, o comando será executado sem saída adicional.

Saiba mais