本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理组织中所有账户的 AWS Config 规则
<a name="config-rule-multi-account-deployment"></a>

**重要**  
只能使用 API 或 CLI 创建组织规则。 AWS Config 控制台不支持此操作。

AWS Config 允许您管理组织 AWS 账户 内所有部门的 AWS Config 规则。你可以：
+ 集中创建、更新和删除组织中所有账户的 AWS Config 规则。
+ 在所有账户中部署一组通用的 AWS Config 规则，并指定不应在其中创建 AWS Config 规则的账户。
+ 使用管理账户中的 AWS Organizations ，通过确保组织的成员账户无法修改基础 AWS Config 规则来实施治理。 APIs 

## 注意事项
<a name="config-rule-multi-account-deployment-considerations"></a>

**对于跨不同区域的部署**

跨账户部署规则和一致性包的 API 调用因 AWS 区域而异。在组织级别，如果您想在其他区域部署规则，需要将 API 调用的上下文更改为其他区域。例如，要在美国东部（弗吉尼亚州北部）部署规则，应将区域更改为美国东部（弗吉尼亚州北部），然后调用。`PutOrganizationConfigRule`

**对用于组织内的账户**

如果有新账户加入组织，会将相关的规则或合规包部署到该账户中。当账户离开组织时，相关的规则或合规包将被删除。

如果您在组织管理员账户中部署组织规则或合规包，然后建立委派管理员，并在委派管理员账户中部署组织规则或合规包，您将无法通过委派管理员账户在组织管理员账户中查看组织规则或合规包，也无法通过组织管理员账户查看委派管理员账户中的组织规则或合规包。[DescribeOrganizationConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConfigRules.html)和[DescribeOrganizationConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConformancePacks.html) APIs 只能查看从调用这些资源的账户内部部署的组织相关资源并与之交互。 APIs

**添加到组织的新账户的重试机制**

如果没有记录器，则只有在向组织添加账户后，才会重试部署现有组织规则和合规包 7 小时。如果在向组织添加账户后的 7 小时内没有记录器，则需要创建一个记录器。

**组织管理账户、委托管理员和服务相关角色**

如果您使用的是组织管理帐户并打算使用委派管理员进行组织部署，请注意这 AWS Config 不会自动创建服务相关角色 (SLR)。您必须使用 IAM 分别手动创建服务相关角色（SLR）。

如果您的管理账户没有 SLR，则无法从委托管理员账户向该账户部署资源。您仍然可以将管理账户和委派管理员账户中的 AWS Config 规则部署到成员账户。有关更多信息，请参阅《AWS Identity and Access Management （IAM）用户指南》**中的[使用服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

## 部署
<a name="config-rule-multi-account-deployment-deploy"></a>

有关如何 AWS Config 与集成的信息 AWS Organizations，请参阅*AWS Organizations 用户指南 AWS Organizations*中的[AWS Config 和](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)。在使用以下内容管理组织 AWS 账户 内所有 AWS Config 规则之前 APIs ，请确保 AWS Config 录制已开启：
+ [PutOrganizationConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConfigRule.html)，为整个组织添加或更新组织配置规则，以评估您的 AWS 资源是否符合所需的配置。
+ [DescribeOrganizationConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConfigRules.html)，返回组织配置规则列表。
+ [GetOrganizationConfigRuleDetailedStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_GetOrganizationConfigRuleDetailedStatus.html)，返回给定组织配置规则下组织内每个成员账户的详细状态。
+ [GetOrganizationCustomRulePolicy](https://docs.aws.amazon.com/config/latest/APIReference/API_GetOrganizationCustomRulePolicy.html)，返回包含组织配置自定义策略规则逻辑的策略定义。
+ [DescribeOrganizationConfigRuleStatuses](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConfigRuleStatuses.html)，提供组织的组织配置规则部署状态。
+ [DeleteOrganizationConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConfigRule.html)，从该组织的所有成员账户中删除指定的组织配置规则及其所有评估结果。

## 区域支持
<a name="region-support-org-config-rules"></a>

以下区域支持跨 AWS 组织成员账户部署 AWS Config 规则。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/config-rule-multi-account-deployment.html)