创建聚合器 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建聚合器

您可以使用 Amazon Config 控制台或创建聚合器。 Amazon CLI Amazon Config 您可以从中选择 “添加个人账户 ID” 或 “添加我的组织”,从中汇总数据。 Amazon CLI 有两种不同的程序。

Creating Aggregators (Console)

聚合器页面上,您可以通过指定要从中聚合数据的源账户 ID 或组织和区域来创建聚合器。

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 导航到聚合器页面,然后选择创建聚合器

  3. 允许数据复制,允许将数据从源帐户复制 Amazon Config 到聚合器帐户。

    选择 Amazon Config 允许将数据从源帐户复制到聚合器帐户。您须选中此复选框,才能继续添加聚合器

  4. 对于 Aggregator name,键入聚合器的名称。

    聚合器名称必须是唯一的名称,最多有 64 个字母数字字符。此名称可以包含连字符和下划线。

  5. 对于选择源帐户,请选择添加个人帐户 ID添加我的组织,从中汇总数据。

    注意

    使用添加单个账户 ID 来选择源账户时,需要获得授权。

    • 如果您选择 Add individual account IDs,则可以为聚合器账户添加个人账户 ID。

      1. 选择 Add source accounts 以添加账户 ID。

      2. 选择添加 Amazon Web Services 账户 ID 以手动添加以逗号分隔 Amazon Web Services 账户 的 ID。如果您想要从当前账户中聚合数据,请键入账户的账户 ID。

        选择 “上传文件”,上传以逗号 Amazon Web Services 账户 分隔 ID 的文件(.txt 或.csv)。

      3. 选择 Add source accounts 以确认您的选择。

    • 如果您选择 Add my organization,则可以将您组织中的所有账户添加到聚合器账户。

      注意

      您必须登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。如果来电者是管理账号,则 Amazon Config 调用 EnableAwsServiceAccess API 以启用 Amazon Config 和之间的集成 Amazon Organizations。如果来电者是注册的委托管理员,则 Amazon Config 调用 ListDelegatedAdministrators API 来验证来电者是否是有效的委托管理员。

      在授权的管理员创建聚合器之前,请确保管理账户注册 Amazon Config 服务主体名称 (config.amazonaws.com) 的委派管理员。要注册委派管理员,请参阅注册委派管理员

      您必须分配一个 IAM 角色 Amazon Config 才能允许您为组织调用只读 API。

      1. 选择从您的账户选择一个角色,以选择现有 IAM 角色。

        注意

        在 IAM 控制台中,将 AWSConfigRoleForOrganizations 托管策略附加到您的 IAM 角色。附加此政策 Amazon Config 允许调用 Amazon Organizations DescribeOrganizationListAWSServiceAccessForOrganization、和 ListAccounts API。默认情况下,config.amazonaws.com 会被自动指定为可信实体。

      2. 或者,选择创建角色,然后键入 IAM 角色名称以创建 IAM 角色。

  6. 对于 Regions,选择您要为其聚合数据的区域。

    • 选择一个区域或多个区域或所有 Amazon Web Services 区域。

    • 选择 In clude fut Amazon Web Services 区域 ure 可聚合所有 Amazon Web Services 区域 启用多账户多区域数据聚合的未来数据。

  7. 选择 “保存”。 Amazon Config 显示聚合器。

Creating Aggregators using Individual Accounts (Amazon CLI)
  1. 打开命令提示符或终端窗口。

  2. 输入以下命令以创建一个名为 MyAggregator 的聚合器。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    对于 account-aggregation-sources,输入以下内容之一。

    • 要聚合其数据的 Amazon Web Services 账户 ID 的逗号分隔列表。用方括号将账户 ID 括起来,并确保对引号进行转义 (例如,"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]")。

    • 您也可以上传以逗号分隔 Amazon Web Services 账户 的 ID 的 JSON 文件。上传文件使用以下语法:--account-aggregation-sources MyFilePath/MyFile.json

      JSON 文件必须为以下格式:

    [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
  3. 按 Enter 执行命令。

    您应该可以看到类似于如下所示的输出内容:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
Creating Aggreagtors using Amazon Organizations (Amazon CLI)

在开始本过程之前,您必须先登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。

注意

在委派管理员创建聚合器之前,请确保管理账户使用以下两个 Amazon Config 服务主体名称(config.amazonaws.comconfig-multiaccountsetup.amazonaws.com)注册委派管理员。要注册委派管理员,请参阅注册委派管理员

  1. 打开命令提示符或终端窗口。

  2. 如果尚未为 Amazon Config 聚合器创建 IAM 角色,请输入以下命令:

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    注意

    复制此 IAM 角色中的亚马逊资源名称 (ARN),以便在创建聚合器时使用。 Amazon Config 您可以在响应对象上找到 ARN。

  3. 如果尚未将策略附加到您的 IAM 角色,请附加AWSConfigRoleForOrganizations托管策略或输入以下命令:

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
  4. 输入以下命令以创建一个名为 MyAggregator 的聚合器。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
  5. 按 Enter 执行命令。

    您应该可以看到类似于如下所示的输出内容:

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } }