本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
多账户多区域数据聚合
聚合器是一种从以下来源收集 Amazon Config 配置和合规性数据的 Amazon Config 资源类型:
-
多个账户和多个 Amazon 区域。
-
单个账户和多个 Amazon 区域。
-
一个组织中的一个组织 Amazon Organizations 以及该组织中所有已 Amazon Config 启用的账户。
使用聚合器查看在 Amazon Config中记录的资源配置和合规性数据。聚合器使用 Amazon S3 存储桶来存储聚合数据。它会定期从源账户检索配置快照并将其存储在指定的 S3 存储桶中。下图显示了聚合器如何从多个账户和地区收集 Amazon Config 数据。
应用场景
-
合规性监控:您可以汇总合规性数据,以评估组织或跨账户和地区的整体合规状况。
-
变更跟踪:您可以跟踪组织内或不同账户和地区的资源随时间推移而发生的变化。
-
资源关系:您可以分析整个组织或不同账户和地区的资源依赖关系和关系。
注意
通过将数据从源账户复制到聚合器账户,聚合器可以提供源账户和区域的只读视图,聚合器有权查看这些视图。聚合器不提供对源账户或区域的变更访问权限。例如,这意味着您不能通过聚合器部署规则,也不能通过聚合器将快照文件推送到源账户或区域。
使用聚合器不会产生任何额外费用。
术语
源账户是您要 Amazon Web Services 账户 从中汇总 Amazon Config 资源配置和合规性数据的账户。源账户可以是 Amazon Organizations中的个人账户或组织。您可以单独提供源帐户,也可以通过它们进行检索 Amazon Organizations。
来源区域是您要从中汇总 Amazon Config 配置和合规性数据的 Amazon 区域。
聚合器账户是您在其中创建聚合器的账户。
授权是指您向聚合器账户和地区授予的收集 Amazon Config 配置和合规性数据的权限。如果要聚合的源账户是 Amazon Organizations的一部分,则不需要授权。
如何聚合数据
要汇总来自来源账户和地区的 Amazon Config 数据,请从以下内容开始:
-
添加聚合器以聚合来自多个账户和地区的 Amazon Config 配置和合规性数据。有关更多信息,请参阅、使用控制台设置聚合器和使用设置聚合器 Amazon Command Line Interface。
-
授权聚合器账户收集 Amazon Config 配置和合规性数据。有关更多信息,请参阅 使用控制台授权聚合器账户收集 Amazon Config 配置和合规性数据 和 授权聚合器账户使用收集 Amazon Config 配置和合规性数据 Amazon Command Line Interface。
注意
聚合器有两种类型:个人账户聚合器和组织聚合器
对于个人账户聚合器,任何包含的来源账户区域(包括外部账户区域或组织成员账户区域)都需要授权。
对于组织聚合器,组织成员账户区域不需要授权,因为授权已与 Organizations 服务集成。
-
在聚合视图中监控规则和账户的合规性数据。有关更多信息,请参阅 在聚合器控制面板中查看合规性和清单数据。
区域支持
目前,以下区域支持多账户多区域数据聚合:
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美国西部(北加利福尼亚) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 中国(北京) | cn-north-1 | config.cn-north-1.amazonaws.com.cn | HTTPS |
| 中国(宁夏) | cn-northwest-1 | config.cn-northwest-1.amazonaws.com.cn | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲地区(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲地区(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(苏黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列(特拉维夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东(阿联酋) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
多账户多区域数据聚合的故障排除
Amazon Config 由于以下原因之一,可能无法聚合来自源帐户的数据:
| 如果发生这种情况 | 请执行该操作 |
|---|---|
| Amazon Config 未在组织内帐户的来源帐户中启用。 | Amazon Config 在源账户中启用并授权聚合器账户收集数据。 |
| 未给予聚合器账户授权。 | 登录来源账户并向聚合器账户授予收集 Amazon Config 数据的授权。 |
| 可能存在阻止数据聚合的暂时性问题。 | 数据聚合可能会发生延迟。请等待几分钟。 |
Amazon Config 由于以下原因之一,可能无法聚合来自组织的数据:
| 如果发生这种情况 | 请执行该操作 |
|---|---|
| Amazon Config 由于 IAM 角色无效,无法访问您的组织详细信息。 | 创建一个 IAM 角色,或从 IAM 角色列表中选择一个有效的 IAM 角色。注意如果 IAM 角色的失效时间超过 24 小时,则 Amazon Config 会删除整个组织的数据。 |
| Amazon Config 您的组织中已禁用服务访问权限。 | 您可以在 API 之间启用集成 Amazon Config ,也可以 Amazon Organizations 通过 EnableAWSServiceAccess API 实现集成。如果您选择在控制台中添加我的组织,则 Amazon Config 会自动启用 Amazon Config 和之间的集成 Amazon Organizations。 |
| Amazon Config 无法访问您的组织详细信息,因为您的组织中未启用所有功能。 | 启用 Amazon Organizations 控制台中的所有功能。 |
| 中东(巴林)和亚太地区(香港)区域不会立即更新组织变更,例如添加账户、删除账户、启用服务访问权限和禁用服务访问权限。 | 组织变更可能会有 2 小时的延迟。请等待 2 小时以查看所有组织变更。 |