Creación de agregadores para AWS Config - AWS Config

Creación de agregadores para AWS Config

Puede usar la consola de AWS Config o la AWS CLI para crear los agregadores. Desde AWS Config, puede elegir Añadir los ID de las cuentas individuales o Añadir mi organización desde el lugar en el que desee añadir los datos. Para la AWS CLI, hay dos procedimientos diferentes.

Creating Aggregators (Console)

En la página Agregador, puede crear un agregador especificando los ID de cuenta de origen o la organización y las regiones desde donde desea agregar datos.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en https://console.aws.amazon.com/config/home.

  2. Vaya a la página Agregadores y elija Crear agregador.

  3. Permitir la replicación de datos concede permiso a AWS Config para replicar los datos de las cuentas de origen en una cuenta de agregador.

    Elija Permitir que AWS Config replique datos desde las cuentas de origen en una cuenta de agregador. Debe seleccionar esta casilla de verificación para seguir agregando un agregador.

  4. En Nombre del agregador, escriba el nombre del agregador.

    El nombre del agregador debe ser nombre único con un máximo de 64 caracteres alfanuméricos. El nombre puede contener guiones y guiones bajos.

  5. En Seleccionar cuentas de origen, elija Añadir los ID de las cuentas individuales o Añadir mi organización desde donde desee agregar datos.

    nota

    Se requiere autorización cuando se utilizan Agregar ID de cuenta individuales para seleccionar las cuentas de origen.

    • Si elige Agregar ID de cuenta individuales, puede agregar ID de cuenta individuales para una cuenta de agregador.

      1. Elija Agregar cuentas de origen para añadir los ID de cuenta que desee.

      2. Elija Agregar ID de Cuenta de AWS para agregar manualmente ID de cuenta de Cuenta de AWS separados por comas. Si desea agregar los datos de la cuenta actual, escriba el ID de la cuenta.

        O BIEN

        Elija Cargar un archivo para cargar un archivo (.txt o.csv) con ID de cuenta de Cuenta de AWS separados por comas.

      3. Elija Agregar cuentas de origen para confirmar la opción elegida.

    • Si elige Agregar mi organización, puede agregar todas las cuentas de su organización a una cuenta de agregador.

      nota

      Debe haber iniciado sesión en la cuenta de administración o la de un administrador delegado registrado y todas las características debe estar habilitadas en su organización. Si la persona que llama es una cuenta de administración, AWS Config llama a la API EnableAwsServiceAccess para permitir la integración entre AWS Config y AWS Organizations. Si la persona que llama es un administrador delegado registrado, AWS Config llama a la API ListDelegatedAdministrators para comprobar si la persona que llama es un administrador delegado válido.

      Asegúrese de que la cuenta de administración registre un administrador delegado para el nombre de la entidad principal de servicio de AWS Config (onfig.amazonaws.com) antes de que el administrador delegado cree un agregador. Para registrar un administrador delegado, consulte Registro de un administrador delegado para AWS Config.

      Debe asignar un rol de IAM que permita a AWS Config llamar a API de solo lectura para su organización.

      1. Seleccione Elegir un rol de su cuenta para seleccionar un rol de IAM existente.

        nota

        En la consola de IAM, asocie la política administrada de AWSConfigRoleForOrganizations a su rol de IAM. Asociar esta política permite a AWS Config llamar a las API AWS Organizations, DescribeOrganization y ListAWSServiceAccessForOrganization de ListAccounts. De forma predeterminada, config.amazonaws.com se especifica automáticamente como entidad de confianza.

      2. Elija Crear un rol y escriba el nombre del rol de IAM para crear el rol de IAM.

  6. En Regiones, elija las regiones cuyos datos desee agregar.

    • Seleccione una o varias regiones, o todas las Regiones de AWS.

    • Seleccione Incluir futuras Regiones de AWS para agregar datos de todas las Regiones de AWS futuras en las que esté habilitada la agregación de datos de varias cuentas y regiones.

  7. Elija Guardar. AWS Config muestra el agregador.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. Abra un símbolo del sistema o una ventana de terminal.

  2. Escriba el siguiente comando para crear un agregador denominado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Para account-aggregation-sources, introduzca una de las siguientes opciones:

    • Escriba una lista separada por comas de los ID de Cuenta de AWS cuyos datos desea agregar. Encierre los ID de cuenta entre corchetes y asegúrese de aplicar escape a las comillas (por ejemplo, "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • También puede cargar un archivo JSON con los ID de Cuenta de AWS separados por comas. Cargue el archivo utilizando la siguiente sintaxis: --account-aggregation-sources MyFilePath/MyFile.json

      El archivo JSON debe tener el siguiente formato:

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. Pulse Intro para ejecutar el comando.

    Debería ver una salida similar a esta:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggregators using AWS Organizations (AWS CLI)

Antes de iniciar este procedimiento, debe haber iniciado sesión en la cuenta de administración o la de un administrador delegado registrado y todas las características debe estar habilitadas en su organización.

nota

Asegúrese de que la cuenta de administración registre un administrador delegado con los siguientes nombres de la entidad principal de servicio de AWS Config (config.amazonaws.com y config-multiaccountsetup.amazonaws.com) antes de que el administrador delegado cree un agregador. Para registrar un administrador delegado, consulte Registro de un administrador delegado para AWS Config.

  1. Abra un símbolo del sistema o una ventana de terminal.

  2. Si no ha creado un rol de IAM para su agregador de AWS Config, introduzca el siguiente comando: 

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    nota

    Copie el nombre de recurso de Amazon (ARN) desde este rol de IAM para utilizarlo al crear su agregador de AWS Config. Puede encontrar los ARN en el objeto de respuesta.

  3. Si no ha asociado ninguna política a su rol de IAM, adjunte la política gestionada de AWSConfigRoleForOrganizations o introduzca el siguiente comando: 

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17",		 	 	 "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. Introduzca el siguiente comando para crear un agregador denominado MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. Pulse Intro para ejecutar el comando.

    Debería ver una salida similar a esta:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}