View a markdown version of this page

Generierung des Kontostatusberichts für EC2-Richtlinien - AWS Organizations
VoraussetzungenDer Compliance-Statusbericht wird generiert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generierung des Kontostatusberichts für EC2-Richtlinien

Mit dem Kontostatusbericht können Sie den aktuellen Status aller Attribute überprüfen, die von den EC2-Richtlinien für die betroffenen Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.

Dieser Bericht hilft Ihnen bei der Einschätzung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs kontenübergreifend einheitlich (durchnumberOfMatchedAccounts) oder inkonsistent (durch dienumberOfUnmatchedAccounts) ist. Sie können auch den häufigsten Wert sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.

Ob eine EC2-Richtlinie zur Durchsetzung einer Basiskonfiguration angehängt werden soll, hängt von Ihrem spezifischen Anwendungsfall ab.

Weitere Informationen und ein anschauliches Beispiel finden Sie unter. Kontostatusbericht für EC2-Richtlinien

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie einen Kontostatusbericht erstellen können:

  1. Der StartDeclarativePoliciesReport Vorgang kann nur vom Verwaltungskonto oder von delegierten Administratoren für eine Organisation aufgerufen werden.

  2. Um Berichte von einem delegierten Administratorkonto aus auszuführen, muss das Konto als delegierter Administrator für den EC2-Dienst registriert sein.

  3. Sie müssen über einen S3-Bucket verfügen, bevor Sie den Bericht generieren können. Erstellen Sie einen neuen Bucket oder verwenden Sie einen vorhandenen. Der Bucket muss sich in derselben Region befinden, in der Sie die Anfrage stellen. Für den Bucket muss eine entsprechende Bucket-Richtlinie gelten. Ein Beispiel für eine S3-Richtlinie finden Sie unter Beispiele für eine Amazon S3 S3-Richtlinie in der Amazon EC2 EC2-API-Referenz

  4. Sie müssen den vertrauenswürdigen Zugriff für Amazon EC2 aktivieren. Dadurch wird eine mit dem Dienst verknüpfte Rolle mit Lesezugriff erstellt, die den Kontostatusbericht der vorhandenen Konfiguration für Konten in Ihrer gesamten Organisation generiert.

    Verwenden der Konsole

    Für die Organisationskonsole ist dieser Schritt Teil des Prozesses zur Aktivierung von EC2-Richtlinien.

    Unter Verwendung der AWS CLI

    Verwenden Sie für die AWS CLI die EnableAWSServiceAccessOperation.

    Weitere Informationen darüber, wie Sie den vertrauenswürdigen Zugriff für einen bestimmten Dienst mit aktivieren AWS CLIAWS-Services , finden Sie unter AWS Organizations.

  5. Pro Organisation kann jeweils nur ein Bericht generiert werden. Wenn Sie einen Bericht generieren, während ein anderer in Bearbeitung ist, gibt der Vorgang einen Fehler zurück.

Der Compliance-Statusbericht wird generiert

Mindestberechtigungen

Um einen Konformitätsstatusbericht zu erstellen, benötigen Sie die Erlaubnis, die folgenden Vorgänge auszuführen:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

Anmerkung

Wenn Ihr Amazon S3 S3-Bucket SSE-KMS Verschlüsselung verwendet, müssen Sie die kms:GenerateDataKey Genehmigung auch in die Richtlinie aufnehmen.

AWS-Managementkonsole

Verwenden Sie das folgende Verfahren, um einen Kontostatusbericht zu erstellen.

Um einen Kontostatusbericht zu erstellen

  1. Melden Sie sich bei der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie auf der Seite Richtlinien die Option EC2-Richtlinien aus.

  3. Wählen Sie auf der Seite EC2-Richtlinien im Dropdownmenü Aktionen die Option Kontostatusbericht anzeigen aus.

  4. Wählen Sie auf der Seite Kontostatusbericht anzeigen die Option Statusbericht generieren aus.

  5. Geben Sie im Widget „Organisationsstruktur“ an, welche Organisationseinheiten (OUs) Sie in den Bericht aufnehmen möchten.

  6. Wählen Sie Absenden aus.

AWS CLI & AWS SDKs

Um einen Kontostatusbericht zu erstellen

Gehen Sie wie folgt vor, um einen Compliance-Statusbericht zu erstellen, seinen Status zu überprüfen und den Bericht anzuzeigen:

  • ec2:start-declarative-policies-report: Generiert einen Kontostatusbericht. Der Bericht wird asynchron generiert und kann mehrere Stunden in Anspruch nehmen. Weitere Informationen finden Sie StartDeclarativePoliciesReportin der Amazon EC2 API-Referenz.

  • ec2:describe-declarative-policies-report: Beschreibt die Metadaten eines Kontostatusberichts, einschließlich des Status des Berichts. Weitere Informationen finden Sie DescribeDeclarativePoliciesReportsin der Amazon EC2 API-Referenz.

  • ec2:get-declarative-policies-report-summary: Ruft eine Zusammenfassung des Kontostatusberichts ab. Weitere Informationen finden Sie GetDeclarativePoliciesReportSummaryin der Amazon EC2 API-Referenz.

  • ec2:cancel-declarative-policies-report: Bricht die Generierung eines Kontostatusberichts ab. Weitere Informationen finden Sie CancelDeclarativePoliciesReportin der Amazon EC2 API-Referenz.

Bevor Sie einen Bericht generieren, gewähren Sie den EC2-Richtlinien den Hauptzugriff auf den Amazon S3 S3-Bucket, in dem der Bericht gespeichert wird. Fügen Sie dazu dem Bucket die folgende Richtlinie hinzu. amzn-s3-demo-bucketErsetzen Sie durch Ihren tatsächlichen Amazon S3 S3-Bucket-Namen und identity_ARN durch die IAM-Identität, die zum Aufrufen des StartDeclarativePoliciesReport Vorgangs verwendet wurde.

Die folgende JSON-Richtlinie gewährt Zugriff auf die Übermittlung des Berichts an Ihren Bucket:

JSON
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}