Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Generazione del rapporto sullo stato dell'account per le politiche EC2
Il rapporto sullo stato dell'account consente di esaminare lo stato attuale di tutti gli attributi supportati dalle politiche EC2 per gli account interessati. Puoi scegliere gli account e le unità organizzative (OU) da includere nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice.
Questo rapporto consente di valutare lo stato di preparazione fornendo una suddivisione per regione e indicando se lo stato corrente di un attributo è uniforme tra gli account (fino alnumberOfMatchedAccounts) o incoerente (tramite il). numberOfUnmatchedAccounts È inoltre possibile visualizzare il valore più frequente, ovvero il valore di configurazione osservato più frequentemente per l'attributo.
Se allegare o meno una policy EC2 per applicare una configurazione di base dipende dal caso d'uso specifico.
Per ulteriori informazioni e un esempio illustrativo, consulta. Rapporto sullo stato dell'account per le politiche EC2
Prerequisiti
Prima di generare un rapporto sullo stato dell'account, completa i seguenti passaggi:
-
L'
StartDeclarativePoliciesReportoperazione può essere richiamata solo dall'account di gestione o dagli amministratori delegati di un'organizzazione. -
Per eseguire report da un account amministratore delegato, l'account deve essere registrato come amministratore delegato per il servizio EC2.
-
È necessario disporre di un bucket S3 prima di generare il report. Crea un nuovo bucket o usane uno esistente. Il bucket deve trovarsi nella stessa regione in cui si effettua la richiesta. Il bucket deve avere una politica appropriata. Per un esempio di policy S3, consulta Esempio di policy Amazon S3 in Esempi nel riferimento alle API di Amazon EC2
-
È necessario abilitare l'accesso affidabile per Amazon EC2. Questo crea un ruolo collegato al servizio di sola lettura che genera il rapporto sullo stato dell'account della configurazione esistente per gli account dell'organizzazione.
Utilizzo della console
Per la console Organizations, questo passaggio fa parte del processo di abilitazione delle policy EC2.
Utilizzando il AWS CLI
Per AWS CLI, utilizzare l'EnableAWSServiceAccessoperazione.
Per ulteriori informazioni su come abilitare l'accesso affidabile per un servizio specifico con AWS CLI, vedi Servizi AWS che puoi usare con AWS Organizations.
-
È possibile generare un solo report per organizzazione alla volta. Se si genera un report mentre ne è in corso un altro, l'operazione restituisce un errore.
Generazione del rapporto sullo stato di conformità
Autorizzazioni minime
Per generare un rapporto sullo stato di conformità, è necessaria l'autorizzazione per eseguire le seguenti operazioni:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
Nota
Se il tuo bucket Amazon S3 utilizza SSE-KMS la crittografia, devi includere anche l'kms:GenerateDataKeyautorizzazione nella policy.
