AWSSupport-SetupConfig

Description (描述)

AWSSupport-SetupConfigRunbook 會建立 AWS Identity and Access Management (IAM) 服務連結角色、由提供支援的組態記錄器AWS Config，以及使用 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體AWS Config傳送組態快照和組態歷史記錄檔案的交付通道。如果您指定AggregatorAccountId和AggregatorAccountRegion參數的值，runbook 也會建立資料彙總的授權，以便從多個和多個AWS 帳戶收集AWS Config組態和符合性資料。AWS 區域若要進一步了解彙總來自多個帳戶和區域的資料，請參閱開發人員指南中的多帳戶多區域資料彙總。AWS Config

運行此自動化（控制台）

文件類型

 自動化

擁有者

Amazon

平台

Linux,macOS, Windows

參數

• AutomationAssumeRole

  類型：字串

  說明：(選用) 允許系統管理員自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色，系統管理員自動化會使用啟動此 runbook 的使用者的權限。

• AggregatorAccountId

  類型：字串

  說明：(選擇性) 將將彙總器新增至來自多個帳戶和的彙總AWS Config組態和相容性資料的 ID。AWS 帳戶 AWS 區域彙總器也會使用此帳戶來授權來源帳戶。

• AggregatorAccountRegion

  類型：字串

  說明：(選擇性) 將新增彙總器以彙總來自多個帳戶和區域的AWS Config組態和合規資料的區域。

• IncludeGlobalResourcesRegion

  類型：字串

  默認值：美國東部 -1

  描述：(必要) 若要避免在每個區域中記錄全域資源資料，請指定一個區域以記錄全域資源資料。

• 分區

  類型：字串

  預設：aws

  說明：(必要) 您要從中收集AWS Config組態與相容性資料的分割區。

• S3 BucketName

  類型：字串

  預設：aws-config-delivery-channel

  說明：(選用) 您要套用至為交付管道建立的 Amazon S3 儲存貯體的名稱。帳號 ID 會附加至名稱的結尾。

必要的 IAM 許可

此AutomationAssumeRole參數需要下列動作才能成功使用 runbook。

• ssm:StartAutomationExecution

• ssm:GetAutomationExecution

• config:DescribeConfigurationRecorders

• config:DescribeDeliveryChannels

• config:PutAggregationAuthorization

• config:PutConfigurationRecorder

• config:PutDeliveryChannel

• config:StartConfigurationRecorder

• iam:CreateServiceLinkedRole

• iam:PassRole

• s3:CreateBucket

• s3:ListAllMyBuckets

• s3:PutBucketPolicy

文件步驟

• aws:executeScript-建立服務連結 IAM 角色 (如AWS Config果尚未存在)。

• aws:executeScript-建立組態記錄程式 (如果尚未存在)。

• aws:executeScript-建立供交付通道使用的 Amazon S3 儲存貯體 (如果尚未存在)。

• aws:executeScript-使用 runbook 創建的資源創建一個交付渠道。

• aws:executeAwsApi-啟動配置記錄器。

• aws:executeScript-如果您指定AggregatorAccountId和AggregatorAccountRegion參數的值，則會設定多帳戶和多區域資料彙總的授權。