AWSSupport-SetupConfig - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-SetupConfig

Descrizione

Il AWSSupport-SetupConfig runbook crea un ruolo collegato al servizio AWS Identity and Access Management (IAM), un registratore di configurazione basato su e un canale di AWS Config distribuzione con un bucket AWS Config Amazon Simple Storage Service (Amazon S3) in cui invia istantanee di configurazione e file di cronologia della configurazione. Se specifichi valori per i AggregatorAccountRegion parametri AggregatorAccountId and, il runbook crea anche autorizzazioni per l'aggregazione dei dati al fine di raccogliere dati di configurazione e conformità da più o meno dati. AWS Config Account AWS Regioni AWSPer ulteriori informazioni sull'aggregazione dei dati da più account e regioni, consulta Aggregazione di dati multiaccount e più regioni nella Guida per gli sviluppatori.AWS Config

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • AggregatorAccountId

    Tipo: stringa

    Descrizione: (Facoltativo) L'ID del Account AWS luogo in cui verrà aggiunto un aggregatore per aggregare i dati di AWS Config configurazione e conformità provenienti da più account e. Regioni AWS Questo account viene utilizzato anche dall'aggregatore per autorizzare gli account di origine.

  • AggregatorAccountRegion

    Tipo: stringa

    Descrizione: (Facoltativo) La regione in cui verrà aggiunto un aggregatore per aggregare i dati di AWS Config configurazione e conformità di più account e regioni.

  • IncludeGlobalResourcesRegion

    Tipo: stringa

    Predefinito: us-east-1

    Descrizione: (Obbligatorio) Per evitare di registrare i dati delle risorse globali in ogni regione, specifica una regione da cui registrare i dati delle risorse globali.

  • Partizione

    Tipo: stringa

    Impostazione predefinita: aws

    Descrizione: (Obbligatoria) La partizione da cui si desidera raccogliere i dati di AWS Config configurazione e conformità.

  • S3 BucketName

    Tipo: stringa

    Impostazione predefinita: aws-config-delivery-channel

    Descrizione: (Facoltativo) Il nome che desideri applicare al bucket Amazon S3 creato per il canale di distribuzione. L'ID dell'account viene aggiunto alla fine del nome.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:DescribeConfigurationRecorders

  • config:DescribeDeliveryChannels

  • config:PutAggregationAuthorization

  • config:PutConfigurationRecorder

  • config:PutDeliveryChannel

  • config:StartConfigurationRecorder

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • s3:CreateBucket

  • s3:ListAllMyBuckets

  • s3:PutBucketPolicy

Fasi del documento

  • aws:executeScript- Crea un ruolo IAM collegato al servizio, AWS Config se non ne esiste già uno.

  • aws:executeScript- Crea un registratore di configurazione se non ne esiste già uno.

  • aws:executeScript- Crea un bucket Amazon S3 da utilizzare nel canale di distribuzione se non ne esiste già uno.

  • aws:executeScript- Crea un canale di distribuzione utilizzando le risorse create dal runbook.

  • aws:executeAwsApi- Avvia il registratore di configurazione.

  • aws:executeScript- Se sono stati specificati i valori per i AggregatorAccountRegion parametri AggregatorAccountId and, vengono configurate le autorizzazioni per l'aggregazione dei dati per più account e più regioni.