Autorizar contas de agregador para coletar dados de configuração e conformidade do AWS Config
Autorização refere-se às permissões que você concede a uma região e uma conta de agregador para a coleta de dados de conformidade e da configuração do AWS Config. A autorização não será necessária se você estiver agregando contas de origem que fazem parte do AWS Organizations. Você pode usar o console do AWS Config ou a AWS CLI para autorizar contas de agregador.
Considerações
Há dois tipos de agregadores: agregador de contas individuais e agregador de organização
Para um agregador de contas individuais, a autorização é necessária para todas as contas de origem e regiões que você deseja incluir, incluindo contas externas e regiões e contas de membros e regiões da organização.
Para um agregador de organização, a autorização não é necessária para regiões de contas de membros da organização, pois a autorização é integrada ao serviço AWS Organizations.
Os agregadores não habilitam automaticamente o AWS Config em seu nome
O AWS Config precisa ser habilitado na conta de origem e na região para qualquer tipo de agregador, para que os dados do AWS Config sejam gerados na conta de origem e na região.
Adição de autorização
- Adding Authorization (Console)
-
Você pode adicionar autorização para conceder permissão a contas e regiões de agregador para a coleta de dados de configuração e conformidade do AWS Config.
Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home.
-
Navegue até a página Autorizações e escolha Adicionar autorização.
-
Para Conta de agregador, digite o ID de 12 dígitos da conta de agregador.
-
Para Região do agregador, escolha as Regiões da AWS em que a conta de agregador poderá coletar dados de configuração e conformidade da AWS.
-
Escolha Adicionar autorização para confirmar sua seleção.
O AWS Config exibe uma conta de agregador, uma região e o status de autorização.
Você também pode adicionar autorizações a contas e regiões do agregador usando os modelos de exemplo do CloudFormation programaticamente. Para obter mais informações, consulte AWS::Config::AggregationAuthorization no Guia do usuário do CloudFormation.
- Authorizing a Pending Request (Console)
-
Se houver uma solicitação de autorização pendente para uma conta de agregador existente, você verá o status da solicitação na página Autorizações. Você pode autorizar uma solicitação pendente nesta página.
-
Escolha a conta agregadora que você deseja autorizar e, em seguida, escolha Autorizar.
Uma mensagem de confirmação é exibida para confirmar que você concedeu permissão a uma conta de agregador e a uma região para coletar dados do AWS Config.
-
Escolha Autorizar novamente para confirmar que você deseja conceder permissão à conta de agregador.
O status da autorização muda de Solicitando autorização para Autorizado.
Período de aprovação da autorização
A aprovação da autorização é necessária para adicionar contas de origem a um agregador de contas individuais. Uma solicitação de aprovação de autorização pendente ficará disponível por sete dias após um agregador de contas individual adicionar uma conta de origem.
- Adding Authorization (AWS CLI)
-
-
Abra um prompt de comando ou uma janela do terminal.
-
Digite o comando:
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
-
Você deve ver uma saída semelhante a:
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
