本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建聚合器
您可以使用 Amazon Config 控制台或创建聚合器。 Amazon CLI Amazon Config 您可以从中选择 “添加个人账户 ID” 或 “添加我的组织”,从中汇总数据。 Amazon CLI 有两种不同的程序。
- Creating Aggregators (Console)
-
在聚合器页面上,您可以通过指定要从中聚合数据的源账户 ID 或组织和区域来创建聚合器。
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
导航到聚合器页面,然后选择创建聚合器。
-
允许数据复制,允许将数据从源帐户复制 Amazon Config 到聚合器帐户。
选择 Amazon Config 允许将数据从源帐户复制到聚合器帐户。您须选中此复选框,才能继续添加聚合器。
-
对于 Aggregator name,键入聚合器的名称。
聚合器名称必须是唯一的名称,最多有 64 个字母数字字符。此名称可以包含连字符和下划线。
-
对于选择源帐户,请选择添加个人帐户 ID 或添加我的组织,从中汇总数据。
注意
使用添加单个账户 ID 来选择源账户时,需要获得授权。
-
如果您选择 Add individual account IDs,则可以为聚合器账户添加个人账户 ID。
-
选择 Add source accounts 以添加账户 ID。
-
选择添加 Amazon Web Services 账户 ID 以手动添加以逗号分隔 Amazon Web Services 账户 的 ID。如果您想要从当前账户中聚合数据,请键入账户的账户 ID。
或
选择 “上传文件”,上传以逗号 Amazon Web Services 账户 分隔 ID 的文件(.txt 或.csv)。
-
选择 Add source accounts 以确认您的选择。
-
-
如果您选择 Add my organization,则可以将您组织中的所有账户添加到聚合器账户。
注意
您必须登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。如果来电者是管理账号,则 Amazon Config 调用
EnableAwsServiceAccess
API 以启用 Amazon Config 和之间的集成 Amazon Organizations。如果来电者是注册的委托管理员,则 Amazon Config 调用ListDelegatedAdministrators
API 来验证来电者是否是有效的委托管理员。在授权的管理员创建聚合器之前,请确保管理账户注册 Amazon Config 服务主体名称 (config.amazonaws.com) 的委派管理员。要注册委派管理员,请参阅注册委派管理员。
您必须分配一个 IAM 角色 Amazon Config 才能允许您为组织调用只读 API。
-
选择从您的账户选择一个角色,以选择现有 IAM 角色。
注意
在 IAM 控制台中,将
AWSConfigRoleForOrganizations
托管策略附加到您的 IAM 角色。附加此政策 Amazon Config 允许调用 Amazon OrganizationsDescribeOrganization
ListAWSServiceAccessForOrganization
、和ListAccounts
API。默认情况下,config.amazonaws.com
会被自动指定为可信实体。 -
或者,选择创建角色,然后键入 IAM 角色名称以创建 IAM 角色。
-
-
-
对于 Regions,选择您要为其聚合数据的区域。
-
选择一个区域或多个区域或所有 Amazon Web Services 区域。
-
选择 In clude fut Amazon Web Services 区域 ure 可聚合所有 Amazon Web Services 区域 启用多账户多区域数据聚合的未来数据。
-
-
选择 “保存”。 Amazon Config 显示聚合器。
- Creating Aggregators using Individual Accounts (Amazon CLI)
-
-
打开命令提示符或终端窗口。
-
输入以下命令以创建一个名为
MyAggregator
的聚合器。aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"
AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]"对于
account-aggregation-sources
,输入以下内容之一。-
要聚合其数据的 Amazon Web Services 账户 ID 的逗号分隔列表。用方括号将账户 ID 括起来,并确保对引号进行转义 (例如,
"[{\"AccountIds\": [\"
)。AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]" -
您也可以上传以逗号分隔 Amazon Web Services 账户 的 ID 的 JSON 文件。上传文件使用以下语法:
--account-aggregation-sources
MyFilePath/MyFile.json
JSON 文件必须为以下格式:
[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
-
-
按 Enter 执行命令。
您应该可以看到类似于如下所示的输出内容:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
-
- Creating Aggreagtors using Amazon Organizations (Amazon CLI)
-
在开始本过程之前,您必须先登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。
注意
在委派管理员创建聚合器之前,请确保管理账户使用以下两个 Amazon Config 服务主体名称(
config.amazonaws.com
和config-multiaccountsetup.amazonaws.com
)注册委派管理员。要注册委派管理员,请参阅注册委派管理员。-
打开命令提示符或终端窗口。
-
如果尚未为 Amazon Config 聚合器创建 IAM 角色,请输入以下命令:
aws iam create-role --role-name
OrgConfigRole
--assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"注意
复制此 IAM 角色中的亚马逊资源名称 (ARN),以便在创建聚合器时使用。 Amazon Config 您可以在响应对象上找到 ARN。
-
如果尚未将策略附加到您的 IAM 角色,请附加AWSConfigRoleForOrganizations托管策略或输入以下命令:
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
-
输入以下命令以创建一个名为
MyAggregator
的聚合器。aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"
Complete-Arn
\",\"AllAwsRegions\": true}" -
按 Enter 执行命令。
您应该可以看到类似于如下所示的输出内容:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume
:role/name-of-role
" }, "LastUpdatedTime": 1517942461.442 } }
-