使用控制台授权聚合器账户收集 Amazon Config 配置和合规性数据 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台授权聚合器账户收集 Amazon Config 配置和合规性数据

Amazon Config 允许您授权账户收集 Amazon Config 配置和合规性数据。

Authorizations 页面上,可以执行以下操作:

  • 添加授权以允许指定聚合器账户和区域从您的当前账户收集 Amazon Config 配置和合规性数据。

  • 授权来自聚合器账户的待处理请求从您的当前账户收集 Amazon Config 配置和合规性数据。

  • 删除聚合器账户从您的当前账户收集 Amazon Config 配置和合规性数据的授权。

注意事项

聚合器有两种类型:个人账户聚合器和组织聚合器

对于个人账户聚合器,您要包含的所有源账户和区域都需要授权,包括外部账户和区域,以及组织成员账户和区域。

对于组织聚合器,组织成员账户区域无需授权,因为授权已与 Amazon Organizations 服务集成。

聚合器不会自动代表您 Amazon Config 启用

Amazon Config 需要在来源账户和区域中为任一类型的聚合器启用,才能在源账户和区域中生成 Amazon Config 数据。

为聚合器账户和区域添加授权

您可以添加授权,向聚合器账户和区域授予收集 Amazon Config 配置和合规性数据的权限。

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 导航到 Authorizations 页面,然后选择 Add authorization

  3. 对于 Aggregator account,键入聚合器账户的 12 位数账户 ID。

  4. 对于聚合器区域,选择允许聚合器账户收集 Config Amazon 配置和合规性数据 Amazon Web Services 区域 的位置。

  5. 选择 Add authorization 以确认您的选择。

    Amazon Config 显示聚合器账户、区域和授权状态。

    注意

    您还可以使用 Amazon CloudFormation 示例模板以编程方式向聚合器账户和区域添加授权。有关更多信息,请参阅AWS::Config::AggregationAuthorizationAmazon CloudFormation 用户指南》

授权针对聚合器账户的待处理请求

如果您有来自现有聚合器账户的待处理授权请求,您将在授权页面上看到请求状态。您可以从此页面授权待处理请求。

  1. 选择要授权的聚合器账户,然后选择授权

    将显示一条确认消息,确认您要向聚合器账户授予从该账户收集 Amazon Config 数据的权限。

  2. 再次选择授权,以确认您要向此聚合器账户授予权限。

    授权状态从 Requesting for authorization 更改为 Authorized

授权批准期限

向个人账户聚合器添加源账户需要获得授权批准。在个人账户聚合器添加源账户后,待处理的授权批准请求将在 7 天内有效。

删除对现有聚合器账户的授权

  1. 选择要删除授权的聚合器账户,然后选择删除

    此时会显示一条警告消息。删除此授权后, Amazon Config 数据将不再与聚合器帐户共享。

  2. 再次选择删除以确认您的选择。

    该聚合器账户现已被删除。

在删除对聚合器的授权后,数据将保留在聚合器账户中长达 24 小时,然后才被删除。