本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSSupport-SetupConfig
描述
该AWSSupport-SetupConfig运行手册创建了一个 AWS Identity and Access Management (IAM) 服务相关角色 AWS Config、由其提供支持的配置记录器和一个带有亚马逊简单存储服务 (Amazon S3) Simple Service 存储桶的交付渠道,用于 AWS Config 发送配置快照和配置历史记录文件。如果您为AggregatorAccountId和AggregatorAccountRegion参数指定值,则运行手册还会为数据聚合创建授权,以便从多个和多个 AWS 账户 中收集 AWS Config 配置和合规性数据。 AWS 区域要详细了解如何汇总来自多个账户和区域的数据,请参阅AWS Config 《开发者指南》中的多账户多区域数据聚合。
文档类型
自动化
所有者
Amazon
平台
Linux,macOS, Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
-
AggregatorAccountId
类型:字符串
描述:(可选)将向 AWS 账户 其中添加聚合器以聚合来自多个账户的 AWS Config 配置和合规性数据的 ID 以及 AWS 区域。聚合器还使用此账户对源账户进行授权。
-
AggregatorAccountRegion
类型:字符串
描述:(可选)将添加聚合器以聚合来自多个账户和地区的 AWS Config 配置和合规性数据的区域。
-
IncludeGlobalResourcesRegion
类型:字符串
默认:us-east-1
描述:(必需)为避免在每个区域中记录全球资源数据,请指定一个区域来记录全球资源数据。
-
分区
类型:字符串
默认:
aws描述:(必需)要从中收集 AWS Config 配置和合规性数据的分区。
-
S3 BucketName
类型:字符串
默认:
aws-config-delivery-channel描述:(可选)要应用于为交付渠道创建的 Amazon S3 存储桶的名称。账户 ID 会附加到该名称的末尾。
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:DescribeConfigurationRecorders -
config:DescribeDeliveryChannels -
config:PutAggregationAuthorization -
config:PutConfigurationRecorder -
config:PutDeliveryChannel -
config:StartConfigurationRecorder -
iam:CreateServiceLinkedRole -
iam:PassRole -
s3:CreateBucket -
s3:ListAllMyBuckets -
s3:PutBucketPolicy
文档步骤
-
aws:executeScript- 创建一个 AWS Config 的服务相关 IAM 角色(如果尚不存在)。 -
aws:executeScript- 创建一个配置记录器(如果尚不存在)。 -
aws:executeScript- 创建一个将由交付渠道使用的 Amazon S3 存储桶(如果尚不存在)。 -
aws:executeScript- 使用运行手册创建的资源创建一个交付渠道。 -
aws:executeAwsApi- 停止或启动配置记录器。 -
aws:executeScript- 如果您为AggregatorAccountId和AggregatorAccountRegion参数指定了值,则会为多账户和多区域数据聚合配置授权。
