AWS::Config::OrganizationConfigRule - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::Config::OrganizationConfigRule

一个组织配置规则,它拥有 AWS Config 在成员账户中创建的配置规则的信息。只有主账户可以创建或更新组织配置规则。

OrganizationConfigRule 资源使组织可以通过 EnableAWSServiceAccess 操作访问服务,并在组织的主账户中创建服务相关角色。仅当主账户中不存在该服务相关角色时,才创建该角色。AWS Config 将使用 GetRole 操作验证是否存在该角色。

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "Type" : "AWS::Config::OrganizationConfigRule", "Properties" : { "ExcludedAccounts" : [ String, ... ], "OrganizationConfigRuleName" : String, "OrganizationCustomRuleMetadata" : OrganizationCustomRuleMetadata, "OrganizationManagedRuleMetadata" : OrganizationManagedRuleMetadata } }

属性

ExcludedAccounts

从组织配置规则中排除的逗号分隔的账户列表。

必需:否

类型:字符串列表

最高1000

Update requires: No interruption

OrganizationConfigRuleName

您分配给组织配置规则的名称。

必需:是

类型:字符串

最低1

最高64

模式.*\S.*

Update requires: Replacement

OrganizationCustomRuleMetadata

一个 OrganizationCustomRuleMetadata 对象。

必需:否

类型OrganizationCustomRuleMetadata

Update requires: No interruption

OrganizationManagedRuleMetadata

一个 OrganizationManagedRuleMetadata 对象。

必需:否

类型OrganizationManagedRuleMetadata

Update requires: No interruption

返回值

Ref

在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回 OrganizationConfigRuleName。

For more information about using the Ref function, see Ref.

示例

托管规则

以下示例将创建一个托管组织配置规则。

JSON

{ "BasicOrganizationConfigRule": { "Type": "AWS::Config::OrganizationConfigRule", "Properties": { "OrganizationConfigRuleName": "OrganizationConfigRuleName", "OrganizationManagedRuleMetadata": { "RuleIdentifier": "CLOUD_TRAIL_ENABLED", "Description": "Cloudtrail enabled rule" }, "ExcludedAccounts": [ "accountId" ] } } }

YAML

BasicOrganizationConfigRule: Type: "AWS::Config::OrganizationConfigRule" Properties: OrganizationConfigRuleName: "OrganizationConfigRuleName" OrganizationManagedRuleMetadata: RuleIdentifier: "CLOUD_TRAIL_ENABLED" Description: "Cloudtrail enabled rule" ExcludedAccounts: - "accountId"

自定义规则

下面的示例创建一个自定义组织配置规则。

JSON

{ "BasicOrganizationConfigRule": { "Type": "AWS::Config::OrganizationConfigRule", "Properties": { "OrganizationConfigRuleName": "OrganizationConfigRuleName", "OrganizationCustomRuleMetadata": { "LambdaFunctionArn": "CustomRuleLambdaArn", "OrganizationConfigRuleTriggerTypes": [ "ScheduledNotification" ] }, "ExcludedAccounts": [ "accountId" ] } } }

YAML

BasicOrganizationConfigRule: Type: "AWS::Config::OrganizationConfigRule" Properties: OrganizationConfigRuleName: "OrganizationConfigRuleName" OrganizationCustomRuleMetadata: LambdaFunctionArn: "CustomRuleLambdaArn" OrganizationConfigRuleTriggerTypes: - "ScheduledNotification" ExcludedAccounts: - "accountId"