Gestión de paquetes de conformidad para AWS Config todas las cuentas de su organización - AWS Config
ConsideracionesImplementaciónCompatibilidad de la región

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de paquetes de conformidad para AWS Config todas las cuentas de su organización

Se utilizan AWS Config para gestionar los paquetes de conformidad Cuentas de AWS en todos los componentes de una organización. Puede hacer lo siguiente:

  • Implemente, actualice y elimine paquetes de conformidad en las cuentas miembro de una organización de AWS Organizations.

  • Implemente un conjunto común de AWS Config reglas y acciones correctivas en todas las cuentas y especifique las cuentas en las que no se deben crear AWS Config reglas y acciones correctivas.

  • Utilice la cuenta de administración AWS Organizations para reforzar la gobernanza, asegurándose de que las cuentas de los miembros de su organización no puedan modificar las AWS Config reglas subyacentes y las medidas correctivas.

Consideraciones

Para implementaciones en diferentes regiones

La llamada a la API para implementar reglas y paquetes de conformidad en todas las cuentas es AWS específica de cada región. En el nivel de organización, debe cambiar el contexto de la llamada a la API a una región diferente si quiere implementar reglas en otras regiones. Por ejemplo, para implementar una regla en Este de EE. UU. (Norte de Virginia), cambie la región a Este de EE. UU. (Norte de Virginia) y, a continuación, llame a PutOrganizationConfigRule.

Para cuentas dentro de una organización

Si una cuenta nueva se une a una organización, la regla o el paquete de conformidad se implementan en esa cuenta. Cuando una cuenta abandona una organización, se elimina la regla o el paquete de conformidad.

Si implementa una regla organizativa o un paquete de conformidad en una cuenta de administrador de la organización y, a continuación, establece un administrador delegado e implementa una regla organizativa o un paquete de conformidad en la cuenta de administrador delegado, no podrá ver la regla organizativa ni el paquete de conformidad en la cuenta de administrador de la organización desde la cuenta de administrador delegado ni ver la regla organizativa ni el paquete de conformidad en la cuenta de administrador delegado desde la cuenta de administrador de la organización. El DescribeOrganizationConfigRulesy solo DescribeOrganizationConformancePacks APIs puede ver e interactuar con los recursos relacionados con la organización que se implementaron desde la cuenta a la que se hace referencia. APIs

Mecanismo de reintento para las cuentas nuevas que se agreguen a una organización

Si no hay ningún registrador disponible, solo se volverán a intentar implementar las reglas organizativas y los paquetes de conformidad existentes durante 7 horas después de añadir una cuenta a su organización. Se espera que cree un registrador si no existe uno dentro de las 7 horas siguientes a la adición de una cuenta a su organización.

Cuentas de administración de la organización, administradores delegados y roles vinculados a servicios

Si utilizas una cuenta de administración de la organización y piensas usar un administrador delegado para el despliegue organizacional, ten en cuenta que eso AWS Config no creará automáticamente el rol vinculado al servicio (SLR). Debe crear el rol vinculado al servicio (SLR) manualmente y por separado, mediante IAM.

Si no tiene un SLR para la cuenta de administración, no podrá implementar recursos en esa cuenta desde una cuenta de administrador delegado. Podrá seguir implementando paquetes de conformidad en las cuentas de los miembros desde las cuentas de administración y de administrador delegado. Para obtener más información, consulte Uso de roles vinculados a servicios en la Guía del usuario de AWS Identity and Access Management (IAM).

Implementación

To deploy with the AWS Management Console

Para implementar un paquete de conformidad en una organización desde la consola, utilice. AWS AWS Systems Manager Para obtener más información, consulte Implementar paquetes de AWS Config conformidad en la Guía del AWS Systems Manager usuario.

To deploy with the AWS API

Para obtener información sobre cómo realizar la integración AWS Config con AWS Organizations, consulte AWS Config y AWS Organizations en la Guía del AWS Organizations usuario. Asegúrese de que la AWS Config grabación esté activada antes de utilizar lo siguiente APIs para gestionar las reglas del paquete de conformidad Cuentas de AWS en toda la organización:

Compatibilidad de la región

En las siguientes regiones se admite la implementación de paquetes de conformidad en las cuentas de los miembros de una AWS organización.

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Este de EE. UU. (Norte de Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste de EE. UU. (Norte de California) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste de EE. UU. (Oregón) us-west-2 config.us-west-2.amazonaws.com HTTPS
África (Ciudad del Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia-Pacífico (Yakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste de Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milán) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (España) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zúrich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Medio Oriente (Baréin) me-south-1 config.me-south-1.amazonaws.com HTTPS
Medio Oriente (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Este de EE. UU.) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (EE. UU.-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS