本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理组织中 AWS Config 所有账户的合规包
<a name="conformance-pack-organization-apis"></a>

 AWS Config 用于管理组织 AWS 账户 内所有的一致性包。您可执行以下操作：
+ 在 AWS Organizations中，跨成员账户集中部署、更新和删除合规包。
+ 在所有账户中部署一组通用的 AWS Config 规则和修正操作，并指定不应在其中创建 AWS Config 规则和修正操作的帐户。
+ 使用中的 AWS Organizations 管理账户通过确保组织的成员账户无法修改基础 AWS Config 规则和补救措施来实施治理。

## 注意事项
<a name="conformance-pack-organization-considerations"></a>

**对于跨不同区域的部署**

跨账户部署规则和一致性包的 API 调用因 AWS 区域而异。在组织级别，如果您想在其他区域部署规则，需要将 API 调用的上下文更改为其他区域。例如，要在美国东部（弗吉尼亚州北部）部署规则，应将区域更改为美国东部（弗吉尼亚州北部），然后调用。`PutOrganizationConfigRule`

**对用于组织内的账户**

如果有新账户加入组织，会将相关的规则或合规包部署到该账户中。当账户离开组织时，相关的规则或合规包将被删除。

如果您在组织管理员账户中部署组织规则或合规包，然后建立委派管理员，并在委派管理员账户中部署组织规则或合规包，您将无法通过委派管理员账户在组织管理员账户中查看组织规则或合规包，也无法通过组织管理员账户查看委派管理员账户中的组织规则或合规包。[DescribeOrganizationConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConfigRules.html)和[DescribeOrganizationConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConformancePacks.html) APIs 只能查看从调用这些资源的账户内部部署的组织相关资源并与之交互。 APIs

**添加到组织的新账户的重试机制**

如果没有记录器，则只有在向组织添加账户后，才会重试部署现有组织规则和合规包 7 小时。如果在向组织添加账户后的 7 小时内没有记录器，则需要创建一个记录器。

**组织管理账户、委托管理员和服务相关角色**

如果您使用的是组织管理帐户并打算使用委派管理员进行组织部署，请注意这 AWS Config 不会自动创建服务相关角色 (SLR)。您必须使用 IAM 分别手动创建服务相关角色（SLR）。

如果您的管理账户没有 SLR，则无法从委托管理员账户向该账户部署资源。您仍然可以从管理账户和委托管理员账户将合规包部署到成员账户。有关更多信息，请参阅《AWS Identity and Access Management （IAM）用户指南》**中的[使用服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

## 部署
<a name="conformance-pack-organization-deployment"></a>

------
#### [ To deploy with the AWS 管理控制台 ]

要通过 AWS 控制台在整个组织中部署一致性包，请使用 AWS Systems Manager。有关更多信息，请参阅《*AWS Systems Manager 用户指南》*中的[部署 AWS Config 一致性包](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)。

------
#### [ To deploy with the AWS API ]

有关如何 AWS Config 与集成的信息 AWS Organizations，请参阅*AWS Organizations 用户指南 AWS Organizations*中的[AWS Config 和](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)。在使用以下内容 APIs 管理组织 AWS 账户 内所有合规包规则之前，请确保 AWS Config 录制已开启：
+ [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html)，从该组织的所有成员账户中删除指定的组织一致性包以及所有配置规则和修正操作。
+ [DescribeOrganizationConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConformancePacks.html)，返回组织一致性包列表。
+ [DescribeOrganizationConformancePackStatuses](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeOrganizationConformancePackStatuses.html)，提供组织的组织合规包部署状态。
+ [GetOrganizationConformancePackDetailedStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_GetOrganizationConformancePackDetailedStatus.html)，返回给定组织合规包中组织内每个成员帐户的详细状态。
+ [PutOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConformancePack.html)，在组织中的成员账户中部署一致性包。 AWS 

------

## 区域支持
<a name="org-conformance-packs-regions"></a>

以下区域支持跨 AWS 组织成员账户部署合规包。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/conformance-pack-organization-apis.html)