Autorización de cuentas de agregador para recopilar datos de configuración y conformidad de AWS Config.
La autorización hace referencia a los permisos que otorga en una región y cuenta de agregador a fin de recopilar datos de configuración y conformidad de AWS Config. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations. Puede usar la consola de AWS Config o la AWS CLI para autorizar cuentas de agregador.
Consideraciones
Hay dos tipos de agregadores: el agregador de cuentas individuales y el agregador de la organización
En el caso de un agregador de cuentas individuales, se requiere la autorización de todas las cuentas y regiones de origen que quiera incluir, tanto las cuentas externas y las regiones como las cuentas de miembros de la organización y las regiones.
En el caso de un agregador de la organización, no se requiere autorización para las regiones de cuentas de los miembros de la organización, ya que la autorización está integrada con el servicio de AWS Organizations.
Los agregadores no activan AWS Config automáticamente en su nombre
AWS Config debe estar habilitado en la cuenta y la región de origen para cualquier tipo de agregador para que los datos de AWS Config se generen en la cuenta y la región de origen.
Autorización de envío
- Adding Authorization (Console)
-
Puede añadir autorización para conceder permiso a las cuentas y regiones de agregador para recopilar datos de configuración y conformidad de AWS Config.
Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/home.
-
Vaya a la página Authorizations (Autorizaciones) y elija Add authorization (Añadir autorización).
-
En Aggregator account (Cuenta de agregador), escriba el ID de 12 dígitos de la cuenta de agregador.
-
En Región del agregador, elija las Regiones de AWS en las que la cuenta de agregador tiene permiso para recopilar datos de configuración y conformidad de AWS.
-
Elija Add authorization (Añadir autorización) para confirmar la opción elegida.
AWS Config muestra la cuenta de agregador, la región y el estado de autorización.
También puede añadir las autorizaciones a cuentas y regiones de agregador mediante programación con plantillas de ejemplo de CloudFormation. Para obtener más información, consulte AWS::Config::AggregationAuthorization en la Guía del usuario de CloudFormation.
- Authorizing a Pending Request (Console)
-
Si tiene una solicitud de autorización pendiente para una cuenta de agregador existente, verá el estado de la solicitud en la página Autorizaciones. Puede autorizar una solicitud pendiente desde esta página.
-
Elija la cuenta de agregador que desee autorizar y, a continuación, Autorizar.
Se muestra un mensaje de confirmación para que confirme que quiere otorgar permiso al agregador para la cuenta para recopilar datos de AWS Config de esta cuenta.
-
Vuelva a seleccionar Autorizar para confirmar que desea conceder el permiso a la cuenta del agregador.
El estado de autorización cambia de Requesting for authorization (Autorización solicitada) a Authorized (Autorizada).
Periodo de aprobación de la autorización
Se requiere la aprobación de la autorización para agregar cuentas de origen a un agregador de cuentas individual. Una solicitud de aprobación de autorización pendiente estará disponible durante siete días después de que un agregador de cuentas individual agregue una cuenta de origen.
- Adding Authorization (AWS CLI)
-
-
Abra un símbolo del sistema o una ventana de terminal.
-
Escriba el siguiente comando:
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
-
Debería ver una salida similar a esta:
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
