本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理组织中所有账户的AWS Config规则
重要
只能使用 API 或 CLI 创建组织规则。AWS Config控制台不支持此操作。
AWS Config允许您管理组织AWS 账户内所有部门的AWS Config规则。你可以:
-
集中创建、更新和删除组织中所有账户的AWS Config规则。
-
在所有账户中部署一组通用的AWS Config规则,并指定不应在其中创建AWS Config规则的账户。
-
使用管理账户中的AWS Organizations,通过确保组织的成员账户无法修改基础AWS Config规则来实施治理。 APIs
注意事项
对于跨不同区域的部署
跨账户部署规则和一致性包的 API 调用因AWS区域而异。在组织级别,如果您想在其他区域部署规则,需要将 API 调用的上下文更改为其他区域。例如,要在美国东部(弗吉尼亚州北部)部署规则,应将区域更改为美国东部(弗吉尼亚州北部),然后调用。PutOrganizationConfigRule
对用于组织内的账户
如果有新账户加入组织,会将相关的规则或合规包部署到该账户中。当账户离开组织时,相关的规则或合规包将被删除。
如果您在组织管理员账户中部署组织规则或合规包,然后建立委派管理员,并在委派管理员账户中部署组织规则或合规包,您将无法通过委派管理员账户在组织管理员账户中查看组织规则或合规包,也无法通过组织管理员账户查看委派管理员账户中的组织规则或合规包。DescribeOrganizationConfigRules和DescribeOrganizationConformancePacks APIs 只能查看从调用这些资源的账户内部部署的组织相关资源并与之交互。 APIs
添加到组织的新账户的重试机制
如果没有记录器,则只有在向组织添加账户后,才会重试部署现有组织规则和合规包 7 小时。如果在向组织添加账户后的 7 小时内没有记录器,则需要创建一个记录器。
组织管理账户、委托管理员和服务相关角色
如果您使用的是组织管理帐户并打算使用委派管理员进行组织部署,请注意这AWS Config不会自动创建服务相关角色 (SLR)。您必须使用 IAM 分别手动创建服务相关角色(SLR)。
如果您的管理账户没有 SLR,则无法从委托管理员账户向该账户部署资源。您仍然可以将管理账户和委派管理员账户中的AWS Config规则部署到成员账户。有关更多信息,请参阅《AWS Identity and Access Management(IAM)用户指南》中的使用服务相关角色。
部署
有关如何AWS Config与集成的信息AWS Organizations,请参阅AWS Organizations用户指南AWS Organizations中的AWS Config和。在使用以下内容管理组织AWS 账户内所有AWS Config规则之前 APIs ,请确保AWS Config录制已开启:
-
PutOrganizationConfigRule,为整个组织添加或更新组织配置规则,以评估您的AWS资源是否符合所需的配置。
-
DescribeOrganizationConfigRules,返回组织配置规则列表。
-
GetOrganizationConfigRuleDetailedStatus,返回给定组织配置规则下组织内每个成员账户的详细状态。
-
GetOrganizationCustomRulePolicy,返回包含组织配置自定义策略规则逻辑的策略定义。
-
DescribeOrganizationConfigRuleStatuses,提供组织的组织配置规则部署状态。
-
DeleteOrganizationConfigRule,从该组织的所有成员账户中删除指定的组织配置规则及其所有评估结果。
区域支持
以下区域支持跨AWS组织成员账户部署AWS Config规则。
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美国西部(北加利福尼亚) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(马来西亚) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(新西兰) | ap-southeast-6 | config.ap-southeast-6.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(台北) | ap-east-2 | config.ap-east-2.amazonaws.com | HTTPS |
| 亚太地区(泰国) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲地区(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲地区(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(苏黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列(特拉维夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 墨西哥(中部) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东(阿联酋) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国东部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
