Prerequisites - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Prerequisites

在部署一致性包之前,请打开 AWS Config 记录。

开始 AWS Config 记录

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 在导航窗格中,选择 Settings

  3. 要开始记录,请选择 Recording is off (记录已关闭) 下的 Turn on (开启)。系统提示时,选择 继续

将一致性包与修正结合使用的先决条件

在部署使用了具备修正功能的示例模板的一致性包之前,您必须根据修正目标创建合适的资源,例如 Automation 代入角色和其他 AWS 资源。

如果您已有 Automation 角色并使用该角色通过 SSM 文档进行修复,则可以直接提供该角色的 ARN。如果您有任何资源,可以在模板中提供这些资源。

AWS Config 不支持 Automation 执行角色的 AWS CloudFormation 内部函数。您必须以字符串形式提供角色的准确 ARN。

有关如何传递准确 ARN 的更多信息,请参阅一致性包示例模板。使用示例模板时,请将相应部分更新为您的账户 ID 和您组织的主账户 ID。

将一致性包与一个或多个 AWS Config 规则结合使用的先决条件

在部署具有一个或多个自定义 AWS Config 规则的一致性包之前,请创建合适的资源,例如 AWS Lambda 函数和对应的执行角色。

如果您已有自定义 AWS Config 规则,则可以直接提供 AWS Lambda 函数的 ARN,以创建该自定义规则的另一个实例作为包的一部分。

如果您没有现有的自定义 AWS Config 规则,则可以创建一个 AWS Lambda 函数并使用该 Lambda 函数的 ARN。有关更多信息,请参阅AWS Config 自定义规则

如果您的 AWS Lambda 函数位于其他 AWS 账户中,则可以创建具有相应跨账户 AWS Lambda 函数授权的 AWS Config 规则。有关更多信息,请参阅博客文章如何跨多个 AWS 账户集中管理 AWS Config 规则

Organization 一致性包的先决条件

如果输入模板具有自动修正配置,则在模板中为该修正指定 Automation 执行角色 ARN。确保组织的所有账户(主账户和成员账户)中都有具有指定名称的角色。您必须先在所有账户中创建此角色,然后才能调用 PutOrganizationConformancePack。 您可以手动创建此角色,也可以使用 AWS CloudFormation 堆栈集在每个账户中创建此角色。

如果您的模板使用 AWS CloudFormation 内部函数 Fn::ImportValue 来导入特定变量,则必须在组织的所有成员账户中,将该变量定义为 Export Value

对于自定义 AWS Config 规则,请参阅博客如何跨多个 AWS 账户集中管理 AWS Config 规则 来设置合适的权限。