为创建聚合器 AWS Config - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为创建聚合器 AWS Config

您可以使用 AWS Config 控制台或创建聚合器。 AWS CLI AWS Config 您可以从中选择 “添加个人帐户” IDs 或 “添加我的组织”,从中汇总数据。 AWS CLI 有两种不同的程序。

Creating Aggregators (Console)

聚合器页面上,您可以通过指定要聚合数据的来源账户 IDs 或组织以及区域来创建聚合器。

  1. 登录 AWS Management Console 并在家中打开https://console.aws.amazon.com/config/主 AWS Config机。

  2. 导航到聚合器页面,然后选择创建聚合器

  3. Allow data replication (允许数据复制),授予 AWS Config 权限,使其可将数据从源账户复制到聚合器账户中。

    选择 AWS Config 允许将数据从源帐户复制到聚合器帐户。您须选中此复选框,才能继续添加聚合器

  4. 对于 Aggregator name,键入聚合器的名称。

    聚合器名称必须是唯一的名称,最多有 64 个字母数字字符。此名称可以包含连字符和下划线。

  5. 对于选择源帐户,请选择添加个人帐户 IDs添加我的组织,从中汇总数据。

    注意

    使用 “添加个人账户” 选择来源账户 IDs时需要授权。

    • 如果您选择 “添加个人账户” IDs,则可以 IDs 为聚合器账户添加个人账户。

      1. 选择添加来源帐户以添加帐户 IDs。

      2. 选择 “添加” AWS 账户 IDs 以手动添加逗号分隔 AWS 账户 IDs。如果您想要从当前账户中聚合数据,请键入账户的账户 ID。

        选择 “上传文件”,上传以逗号分隔的文件(.txt 或.csv)。 AWS 账户 IDs

      3. 选择 Add source accounts 以确认您的选择。

    • 如果您选择 Add my organization,则可以将您组织中的所有账户添加到聚合器账户。

      注意

      您必须登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。如果来电者是管理账号,则 AWS Config 调用 EnableAwsServiceAccess API 以启用 AWS Config 和之间的集成 AWS Organizations。如果来电者是注册的委托管理员,则 AWS Config 调用 ListDelegatedAdministrators API 来验证来电者是否是有效的委托管理员。

      在授权的管理员创建聚合器之前,请确保管理账户注册 AWS Config 服务主体名称 (config.amazonaws.com) 的委派管理员。要注册委派管理员,请参阅为注册委派管理员 AWS Config

      您必须分配一个 IAM 角色 AWS Config 才能对您的组织 APIs 进行只读调用。

      1. 选择从您的账户选择一个角色,以选择现有 IAM 角色。

        注意

        在 IAM 控制台中,将 AWSConfigRoleForOrganizations 托管策略附加到您的 IAM 角色。附加此政策 AWS Config 允许调用 AWS Organizations DescribeOrganizationListAWSServiceAccessForOrganization、和。ListAccounts APIs默认情况下,config.amazonaws.com 会被自动指定为可信实体。

      2. 或者,选择创建角色,然后键入 IAM 角色名称以创建 IAM 角色。

  6. 对于 Regions,选择您要为其聚合数据的区域。

    • 选择一个区域或多个区域或所有 AWS 区域。

    • 选择 In clude fut AWS 区域 ure 可聚合所有 AWS 区域 启用多账户多区域数据聚合的未来数据。

  7. 选择 “保存”。 AWS Config 显示聚合器。

Creating Aggregators using Individual Accounts (AWS CLI)

  1. 打开命令提示符或终端窗口。

  2. 输入以下命令以创建一个名为 MyAggregator 的聚合器。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    对于 account-aggregation-sources,输入以下内容之一。

    • 要聚合其数据的 AWS 账户 IDs 以逗号分隔的列表。将账户 IDs 用方括号括起来,并确保对引号进行转义(例如,"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]")。

    • 您也可以上传以逗号分隔 AWS 账户 IDs的 JSON 文件。上传文件使用以下语法:--account-aggregation-sources MyFilePath/MyFile.json

      JSON 文件必须为以下格式:

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. 按 Enter 执行命令。

    您应该可以看到类似于如下所示的输出内容:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggregators using AWS Organizations (AWS CLI)

在开始本过程之前,您必须先登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。

注意

在委派管理员创建聚合器之前,请确保管理账户使用以下两个 AWS Config 服务主体名称(config.amazonaws.com.rproxy.govskope.caconfig-multiaccountsetup.amazonaws.com)注册委派管理员。要注册委派管理员,请参阅为注册委派管理员 AWS Config

  1. 打开命令提示符或终端窗口。

  2. 如果尚未为 AWS Config 聚合器创建 IAM 角色,请输入以下命令:

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    注意

    复制此 IAM 角色中的亚马逊资源名称 (ARN),以便在创建聚合器时使用。 AWS Config 您可以在响应对象上找到 ARN。

  3. 如果尚未将策略附加到您的 IAM 角色,请附加AWSConfigRoleForOrganizations托管策略或输入以下命令:

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17",		 	 	 "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. 输入以下命令以创建一个名为 MyAggregator 的聚合器。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. 按 Enter 执行命令。

    您应该可以看到类似于如下所示的输出内容:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}