本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为声明性政策生成账户状态报告
账户状态报告允许您查看范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单位 (OUs),也可以通过选择根目录来选择整个组织。
此报告通过提供区域细分来帮助您评估准备情况,以及属性的当前状态是跨账户(通过numberOfMatchedAccounts
)一致还是不一致(通过numberOfUnmatchedAccounts
)。您还可以看到最常用的值,即该属性中最常观察到的配置值。
选择附加用于强制执行基准配置的声明性策略取决于您的具体用例。
有关更多信息和说明性示例,请参阅声明性政策的账户状态报告。
先决条件
在生成账户状态报告之前,必须执行以下步骤
StartDeclarativePoliciesReport
API只能由组织的管理账户或委托管理员调用。在生成报告之前,您必须拥有 S3 存储桶(创建新存储桶或使用现有存储桶),该存储桶必须位于发出请求的同一区域,并且必须具有相应的 S3 存储桶策略。有关 S3 策略的示例,请参阅《亚马逊EC2API参考资料》中示例下的 Amazon S3 策略示例
您必须为声明性策略将强制执行基准配置的服务启用可信访问。这将创建一个只读的服务相关角色,该角色用于生成账户状态报告,说明组织中账户的现有配置。
使用控制台
对于 Organizations 控制台,此步骤是启用声明性策略过程的一部分。
使用 Amazon CLI
对于 Amazon CLI,请使用 E A nableAWSService ccess API。
有关如何为特定服务启用可信访问权限的更多信息, Amazon CLI 请参阅 Amazon Web Services 服务 ,您可以与一起使用 Amazon Organizations。
每个组织一次只能生成一份报告。在另一份报告正在进行时尝试生成报告会导致错误。
访问合规状态报告
最小权限
要生成合规性状态报告,您需要获得运行以下操作的权限:
-
ec2:StartDeclarativePoliciesReport
-
ec2:DescribeDeclarativePoliciesReports
-
ec2:GetDeclarativePoliciesReportSummary
-
ec2:CancelDeclarativePoliciesReport
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:DescribeOrganizationalUnit
-
organizations:ListAccounts
-
organizations:ListDelegatedAdministrators
-
organizations:ListAWSServiceAccessForOrganization