授权聚合器账户收集 AWS Config 配置和合规性数据 - AWS Config
注意事项添加授权

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授权聚合器账户收集 AWS Config 配置和合规性数据

授权是指您向聚合器账户和地区授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。您可以使用 AWS Config 控制台或 AWS CLI 来授权聚合器账户。

注意事项

聚合器有两种类型:个人账户聚合器和组织聚合器

对于个人账户聚合器,您要包含的所有源账户和区域都需要授权,包括外部账户和区域,以及组织成员账户和区域。

对于组织聚合器,组织成员账户区域无需授权,因为授权已与 AWS Organizations 服务集成。

聚合器不会自动代表您 AWS Config 启用

AWS Config 需要在来源账户和区域中为任一类型的聚合器启用,以便在源账户和区域中生成 AWS Config 数据。

添加授权

Adding Authorization (Console)

您可以添加授权,向聚合器账户和区域授予收集 AWS Config 配置和合规性数据的权限。

  1. 登录 AWS Management Console 并在家中打开https://console.aws.amazon.com/config/主 AWS Config机。

  2. 导航到 Authorizations 页面,然后选择 Add authorization

  3. 对于 Aggregator account,键入聚合器账户的 12 位数账户 ID。

  4. 对于聚合器区域,选择允许聚合器账户在其中收集 AWS 配置和合规性数据的 AWS 区域 。

  5. 选择 Add authorization 以确认您的选择。

    AWS Config 显示聚合器账户、区域和授权状态。

    注意

    您还可以使用 AWS CloudFormation 示例模板以编程方式向聚合器账户和区域添加授权。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的 AWS::Config::AggregationAuthorization

Authorizing a Pending Request (Console)

如果您有来自现有聚合器账户的待处理授权请求,您将在授权页面上看到请求状态。您可以从此页面授权待处理请求。

  1. 选择要授权的聚合器账户,然后选择授权

    将显示一条确认消息,确认您要向聚合器账户授予从该账户收集 AWS Config 数据的权限。

  2. 再次选择授权,以确认您要向此聚合器账户授予权限。

    授权状态从 Requesting for authorization 更改为 Authorized

授权批准期限

向个人账户聚合器添加源账户需要获得授权批准。在个人账户聚合器添加源账户后,待处理的授权批准请求将在 7 天内有效。

Adding Authorization (AWS CLI)

  1. 打开命令提示符或终端窗口。

  2. 输入以下命令:

    aws configservice put-aggregation-authorization --authorized-account-id  AccountID --authorized-aws-region Region

  3. 您应该可以看到类似于如下所示的输出内容:

    
{
    "AggregationAuthorization": {
        "AuthorizedAccountId": "AccountID",
        "AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
        "CreationTime": 1518116709.993,
        "AuthorizedAwsRegion": "Region"
    }
}