Gerar o relatório de status da conta para políticas declarativas - AWS Organizations
Pré-requisitosAcessar o relatório de status de conformidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerar o relatório de status da conta para políticas declarativas

O relatório de status da conta permite que você revise o status atual de todos os atributos compatíveis com as políticas declarativas das contas no escopo. Você pode escolher as contas e as unidades organizacionais (OUs) a serem incluídas no escopo do relatório ou escolher uma organização inteira selecionando a raiz.

Esse relatório ajuda você a avaliar a prontidão fornecendo um detalhamento por região e se o estado atual de um atributo é uniforme em todas as contas (por meio de numberOfMatchedAccounts) ou inconsistente (por meio de numberOfUnmatchedAccounts). Você também pode ver o valor mais frequente, que é o valor de configuração observado com mais frequência para o atributo.

A opção de anexar uma política declarativa para impor uma configuração básica depende do seu caso de uso específico.

Para obter mais informações e um exemplo ilustrativo, consulte Relatório de status da conta para políticas declarativas.

Pré-requisitos

Antes de gerar um relatório de status da conta, você deve executar as seguintes etapas

  1. A API StartDeclarativePoliciesReport só pode ser chamada pela conta gerencial ou pelos administradores delegados de uma organização.

  2. Você deve ter um bucket do S3 antes de gerar o relatório (criar um novo ou usar um existente), ele deve estar na mesma região em que a solicitação é feita e deve ter uma política de bucket do S3 apropriada. Para obter um exemplo de política do S3, consulte Exemplo de política do Amazon S3 em Exemplos na Amazon API Reference EC2

  3. Você deve habilitar o acesso confiável para o serviço onde a política declarativa imporá uma configuração básica. Isso cria uma função vinculada ao serviço com permissão somente leitura, que é usada para gerar o relatório de status da conta, mostrando qual é a configuração atual das contas em toda a sua organização.

    Como usar o console

    Para o console do Organizations, essa etapa faz parte do processo de habilitação de políticas declarativas.

    Usando o AWS CLI

    Para o AWS CLI, use a API Enable AWSService Access.

    Para obter mais informações sobre como habilitar o acesso confiável para um serviço específico com o AWS CLI consulte, Serviços da AWS que você pode usar com AWS Organizations.

  4. Somente um relatório por organização pode ser gerado por vez. Uma tentativa de gerar um relatório enquanto outro estiver em andamento resultará em um erro.

Acessar o relatório de status de conformidade

Permissões mínimas

Para gerar um relatório de status de conformidade, você precisa de permissão para executar as seguintes ações:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

nota

Se o bucket do Amazon S3 usa criptografia SSE-KMS, você também deve incluir a permissão kms:GenerateDataKey na política.

Console de gerenciamento da AWS

Use o procedimento a seguir para gerar um relatório do status da conta.

Para gerar um relatório de status da conta

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Políticas, escolha Políticas declarativas para EC2.

  3. Na EC2 página Políticas declarativas para, escolha Exibir relatório de status da conta no menu suspenso Ações.

  4. Na página Exibir relatório de status da conta, escolha Gerar relatório de status.

  5. No widget Estrutura organizacional, especifique quais unidades organizacionais (OUs) você deseja incluir no relatório.

  6. Selecione Enviar.

AWS CLI & AWS SDKs

Para gerar um relatório de status da conta

Os campos disponíveis para este atributo são os seguintes: Utilize as seguintes operações para gerar um relatório de conformidade, verificar o status e visualizar o relatório:

  • ec2:start-declarative-policies-report: gera um relatório de status da conta. O relatório é gerado de forma assíncrona, e pode levar várias horas para ser concluído. Para obter mais informações, consulte StartDeclarativePoliciesReporta Amazon EC2 API Reference.

  • ec2:describe-declarative-policies-report: descreve os metadados de um relatório de status da conta, incluindo o estado do relatório. Para obter mais informações, consulte DescribeDeclarativePoliciesReportsa Amazon EC2 API Reference.

  • ec2:get-declarative-policies-report-summary: recupera um resumo do relatório de status da conta. Para obter mais informações, consulte GetDeclarativePoliciesReportSummarya Amazon EC2 API Reference.

  • ec2:cancel-declarative-policies-report: cancela a geração de um relatório de status da conta. Para obter mais informações, consulte CancelDeclarativePoliciesReporta Amazon EC2 API Reference.

Antes de gerar um relatório, conceda às políticas EC2 declarativas acesso principal ao bucket do Amazon S3 onde o relatório será armazenado. Para isso, associe a seguinte política ao bucket. Substitua amzn-s3-demo-bucket pelo nome real do bucket do Amazon S3, e identity_ARN pela identidade do IAM usada para chamar a API StartDeclarativePoliciesReport.

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}