跨组织中的所有账户管理一致性包 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

跨组织中的所有账户管理一致性包

使用 AWS Config 跨组织中的所有 AWS 账户管理一致性包。您可执行以下操作:

  • 在 AWS Organizations 中,跨成员账户集中部署、更新和删除一致性包。

  • 跨所有账户部署一组通用的 AWS Config 规则和修正操作,并指定不应创建 AWS Config 规则和修正操作的账户。

  • 在 AWS Organizations 中从主账户使用 API,确保组织的成员账户无法修改底层 AWS Config 规则和修正操作,从而强制实施监管。

用于跨账户存储桶进行访问的权限

每个成员账户必须具有访问主账户存储桶的权限。成员账户的服务相关角色必须具有访问 Amazon S3 存储桶的权限,而主账户必须允许所有成员账户使用此存储桶。我们建议对 Amazon S3 存储桶策略具有有限的权限。要限制访问权限,您可以在 Amazon S3 策略中使用 PrincipalOrgIDPrincipalArn 条件。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::awsconfigconformscustomer_bucket_name/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } }, { "Sid": "AllowGetBucketAcl", "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::awsconfigconformscustomer_bucket_name", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "customer_org_id" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms" } } } ] }

确保在使用以下 API 跨组织内的所有 AWS 账户管理一致性包规则之前,AWS Config 记录已打开: