AWS Config e AWS Organizations - AWS Organizations

AWS Config e AWS Organizations

A agregação de dados de várias regiões e contas no AWS Config permite agregar dados do AWS Config de várias contas e regiões da Regiões da AWS em uma única conta. A agregação de dados de várias regiões e várias contas é útil para os administradores da TI central monitorarem a conformidade das várias Contas da AWS da empresa. Um agregador é um tipo de recurso do AWS Config que coleta dados do AWS Config de várias contas e regiões de origem. Crie um agregador na região onde você deseja ver os dados do AWS Config agregados. Ao criar um agregador, você pode optar por adicionar IDs de contas individuais ou sua organização. Para obter mais informações sobre o AWS Config, consulte o AWS ConfigGuia do desenvolvedor do .

Você também pode usar APIs do AWS Config para gerenciar regras do AWS Config em todas as Contas da AWS de sua organização. Para obter mais informações, consulte Habilitar regras do AWS Config em todas as contas de sua organização no Guia do desenvolvedor do AWS Config.

Use as informações a seguir para ajudá-lo a integrar o AWS Config ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita acesso confiável. Essa função permite que o AWS Config realize as operações suportadas nas contas de sua organização.

  • AWSServiceRoleForConfig

Essa função é criada quando você habilita o AWS Config em sua organização criando um agregador de várias contas. O AWS Config solicita que você selecione ou crie uma função e forneça o nome. O nome não é gerado automaticamente.

Você pode excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o AWS Config e o Organizations, ou se remover a conta-membro da organização.

Habilitar o acesso confiável no AWS Config

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do AWS Config ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Config para habilitar a integração com o Organizations. Isso permite que o AWS Config execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Config. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS Config, não é necessário concluir estas etapas.

Para habilitar o acesso confiável usando o console do AWS Config

Para habilitar o acesso confiável com o AWS Organizations usando o AWS Config, crie um agregador de várias contas e adicione a organização. Para obter informações sobre como configurar um agregador de várias contas, consulte Configuração de um agregador usando o console, no Guia do desenvolvedor do AWS Config.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o AWS Config, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Config que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Config como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal config.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no AWS Config

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Config como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal config.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess