本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-SetupConfig
Description (描述)
AWSSupport-SetupConfig
Runbook 會建立 AWS Identity and Access Management (IAM) 服務連結角色、由提供支援的組態記錄器AWS Config,以及使用 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體AWS Config傳送組態快照和組態歷史記錄檔案的交付通道。如果您指定AggregatorAccountId
和AggregatorAccountRegion
參數的值,runbook 也會建立資料彙總的授權,以便從多個和多個AWS 帳戶收集AWS Config組態和符合性資料。AWS 區域若要進一步了解彙總來自多個帳戶和區域的資料,請參閱開發人員指南中的多帳戶多區域資料彙總。AWS Config
文件類型
自動化
擁有者
Amazon
平台
Linux,macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許系統管理員自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,系統管理員自動化會使用啟動此 runbook 的使用者的權限。
-
AggregatorAccountId
類型:字串
說明:(選擇性) 將將彙總器新增至來自多個帳戶和的彙總AWS Config組態和相容性資料的 ID。AWS 帳戶 AWS 區域彙總器也會使用此帳戶來授權來源帳戶。
-
AggregatorAccountRegion
類型:字串
說明:(選擇性) 將新增彙總器以彙總來自多個帳戶和區域的AWS Config組態和合規資料的區域。
-
IncludeGlobalResourcesRegion
類型:字串
默認值:美國東部 -1
描述:(必要) 若要避免在每個區域中記錄全域資源資料,請指定一個區域以記錄全域資源資料。
-
分區
類型:字串
預設:
aws
說明:(必要) 您要從中收集AWS Config組態與相容性資料的分割區。
-
S3 BucketName
類型:字串
預設:
aws-config-delivery-channel
說明:(選用) 您要套用至為交付管道建立的 Amazon S3 儲存貯體的名稱。帳號 ID 會附加至名稱的結尾。
必要的 IAM 許可
此AutomationAssumeRole
參數需要下列動作才能成功使用 runbook。
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
config:DescribeConfigurationRecorders
-
config:DescribeDeliveryChannels
-
config:PutAggregationAuthorization
-
config:PutConfigurationRecorder
-
config:PutDeliveryChannel
-
config:StartConfigurationRecorder
-
iam:CreateServiceLinkedRole
-
iam:PassRole
-
s3:CreateBucket
-
s3:ListAllMyBuckets
-
s3:PutBucketPolicy
文件步驟
-
aws:executeScript
-建立服務連結 IAM 角色 (如AWS Config果尚未存在)。 -
aws:executeScript
-建立組態記錄程式 (如果尚未存在)。 -
aws:executeScript
-建立供交付通道使用的 Amazon S3 儲存貯體 (如果尚未存在)。 -
aws:executeScript
-使用 runbook 創建的資源創建一個交付渠道。 -
aws:executeAwsApi
-啟動配置記錄器。 -
aws:executeScript
-如果您指定AggregatorAccountId
和AggregatorAccountRegion
參數的值,則會設定多帳戶和多區域資料彙總的授權。