Criar agregadores para o AWS Config
Você pode usar o console do AWS Config ou a AWS CLI para criar seus agregadores. No AWS Config, é possível escolher Adicionar IDs de contas individuais ou Adicionar minha organização de onde você deseja agregar dados. Para a AWS CLI, existem dois procedimentos diferentes.
- Creating Aggregators (Console)
-
Na página Agregador, você pode criar um agregador especificando os IDs da conta de origem ou a organização e as regiões das quais você deseja agregar dados.
Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home
. -
Navegue até a página Agregadores e escolha Criar agregador.
-
Permitir replicação de dados concede permissão para o AWS Config para replicar dados das contas de origem em uma conta de agregador.
Escolha Permitir AWS Config para replicar dados das contas de origem para uma conta de agregador. Marque esta caixa de seleção para continuar adicionando um agregador.
-
Em Nome do agregador, digite o nome do seu agregador.
O nome do agregador deve ser um nome exclusivo com um máximo de 64 caracteres alfanuméricos. O nome pode conter hifens e sublinhados.
-
Em Selecionar contas de origem, escolha Adicionar IDs de contas individuais ou Adicionar minha organização de onde você deseja agregar os dados.
nota
A autorização é necessária ao usar Adicionar IDs de contas individuais para selecionar contas de origem.
-
Se escolher Adicionar IDs de contas individuais, você poderá adicionar IDs de contas individuais a uma conta de agregador.
-
Escolha Adicionar contas de origem para adicionar IDs de conta.
-
Escolha Adicionar IDs de Conta da AWS para adicionar manualmente IDs de Conta da AWS separados por vírgula. Se você quiser agregar dados da conta atual, digite o ID da conta.
OU
Escolha Fazer upload de um arquivo para fazer upload de um arquivo (.txt ou .csv) de IDs da Conta da AWS separados por vírgulas.
-
Escolha Adicionar contas de origem para confirmar sua seleção.
-
-
Se escolher Adicionar minha organização, você poderá adicionar todas as contas da sua organização a uma conta de agregador.
nota
É necessário estar conectado à conta de gerenciamento ou à conta de administrador delegado e todos os recursos devem estar habilitados em sua organização. Se o chamador for uma conta de gerenciamento, o AWS Config chama a API
EnableAwsServiceAccesspara permitir a integração entre AWS Config e AWS Organizations. Se o chamador for um administrador delegado registrado, o AWS Config chama a APIListDelegatedAdministratorspara verificar se o chamador é um administrador delegado válido.Certifique-se de que a conta de gerenciamento registre o administrador delegado para nome da entidade principal de serviço do AWS Config (config.amazonaws.com) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte Registrar um administrador delegado para o AWS Config.
Você precisa atribuir um perfil do IAM para permitir que o AWS Config chame APIs somente leitura para sua organização.
-
Escolha Selecione uma função de sua conta para selecionar um perfil do IAM existente.
nota
No console do IAM, anexe a política gerenciada pelo
AWSConfigRoleForOrganizationsao seu perfil do IAM. A associação dessa política permite que o AWS Config chame as APIsDescribeOrganization,ListAWSServiceAccessForOrganizationeListAccountsdo AWS Organizations. Por padrão,config.amazonaws.comé automaticamente especificado como uma entidade confiável. -
Escolha Criar uma função e digite o nome do perfil do IAM para criar um perfil do IAM.
-
-
-
Em Regiões, escolha as regiões para as quais você deseja agregar dados.
-
Selecione uma região, várias regiões ou todas as Regiões da AWS.
-
Selecione Incluir futuras Regiões da AWS para agregar dados de todas as futuras Regiões da AWS em que a agregação de dados de várias regiões de várias contas está habilitada.
-
-
Escolha Salvar. O AWS Config exibe o agregador.
- Creating Aggregators using Individual Accounts (AWS CLI)
-
-
Abra um prompt de comando ou uma janela do terminal.
-
Digite o comando a seguir para criar um agregador chamado
MyAggregator.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"Para
account-aggregation-sources, insira um dos itens a seguir.-
Uma lista separada por vírgulas dos IDs da Conta da AWS aos quais você deseja agregar dados. Coloque os IDs da conta entre colchetes e não se esqueça de escapar as aspas (por exemplo: ).,
"[{\"AccountIds\": [\").AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]" -
Você também pode fazer upload de um arquivo JSON dos IDs da Conta da AWS separados por vírgula. Faça upload do arquivo usando a seguinte sintaxe:
--account-aggregation-sourcesMyFilePath/MyFile.jsonO arquivo JSON deve estar no seguinte formato:
[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ] -
-
Pressione Enter para executar o comando.
Você deve ver uma saída semelhante a:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
-
- Creating Aggregators using AWS Organizations (AWS CLI)
-
Antes de começar este procedimento, você precisa estar conectado à conta principal ou a um administrador delegado registrado, e todos os recursos devem estar habilitados na sua organização.
nota
Certifique-se de que a conta de gerenciamento registre um administrador delegado com os dois nomes da entidade principal de serviço do AWS Config (
config.amazonaws.com.rproxy.govskope.caeconfig-multiaccountsetup.amazonaws.com) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte Registrar um administrador delegado para o AWS Config.-
Abra um prompt de comando ou uma janela do terminal.
-
Se não tiver criado um perfil do IAM para o agregador do AWS Config, digite o seguinte comando:
aws iam create-role --role-nameOrgConfigRole--assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"nota
Copie o nome do recurso da Amazon (ARN) desse perfil do IAM a ser usado ao criar seu agregador do AWS Config. É possível encontrar o ARN no objeto de resposta.
-
Se não tiver anexado uma política ao perfil do IAM, anexe a política gerenciada AWSConfigRoleForOrganizations ou digite o seguinte comando:
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}' -
Digite o comando a seguir para criar um agregador chamado
MyAggregator.aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}" -
Pressione Enter para executar o comando.
Você deve ver uma saída semelhante a:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }
-
