使用控制台授权聚合器账户收集 AWS Config 配置和合规性数据 - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台授权聚合器账户收集 AWS Config 配置和合规性数据

AWS Config 允许您授权账户收集 AWS Config 配置和合规性数据。

Authorizations 页面上,可以执行以下操作:

  • 添加授权以允许指定聚合器账户和区域从您的当前账户收集 AWS Config 配置和合规性数据。

  • 授权来自聚合器账户的待处理请求从您的当前账户收集 AWS Config 配置和合规性数据。

  • 删除聚合器账户从您的当前账户收集 AWS Config 配置和合规性数据的授权。

为聚合器账户和区域添加授权

您可以添加授权以向聚合器账户和区域授予收集 AWS Config 配置和合规性数据的权限。

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/

  2. 导航到 Authorizations 页面,然后选择 Add authorization

    注意

    聚合器有两种类型:个人账户聚合器和组织聚合器

    对于个人账户聚合器,您要包含的所有源账户和区域都需要授权,包括外部账户和区域,以及组织成员账户和区域。

    对于组织聚合器,组织成员账户区域不需要授权,因为授权已与 AWS Organizations 服务集成。

    聚合器不会自动代表您启用 AWS Config

    需要在源账户和区域中为任一类型的聚合器启用 AWS Config,才能在源账户和区域中生成 AWS Config 数据。

  3. 对于 Aggregator account,键入聚合器账户的 12 位数账户 ID。

  4. 对于聚合器区域,选择允许聚合器账户在其中收集 AWS 配置和合规性数据的 AWS 区域。

  5. 选择 Add authorization 以确认您的选择。

    AWS Config 会显示聚合器账户、区域和授权状态。

    注意

    您还可以使用 AWS CloudFormation 示例模板以编程方式向聚合器账户和区域添加授权。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的 AWS::Config::AggregationAuthorization

授权针对聚合器账户的待处理请求

如果您有来自现有聚合器账户的待处理授权请求,您将在授权页面上看到请求状态。您可以从此页面授权待处理请求。

  1. 选择要授权的聚合器账户,然后选择授权

    此时会显示一条确认消息,用以确认您向聚合器账户授予从该账户收集 AWS Config 数据的权限。

  2. 再次选择授权,以确认您要向此聚合器账户授予权限。

    授权状态从 Requesting for authorization 更改为 Authorized

注意

授权批准期限

向个人账户聚合器添加源账户需要获得授权批准。在个人账户聚合器添加源账户后,待处理的授权批准请求将在 7 天内有效。

删除对现有聚合器账户的授权

  1. 选择要删除授权的聚合器账户,然后选择删除

    此时会显示一条警告消息。当您删除此授权后,将不会与聚合器账户共享 AWS Config 数据。

    注意

    在删除对聚合器的授权后,数据将保留在聚合器账户中长达 24 小时,然后才被删除。

  2. 再次选择删除以确认您的选择。

    该聚合器账户现已被删除。

了解更多