为声明性政策生成账户状态报告 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为声明性政策生成账户状态报告

账户状态报告允许您查看范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单位 (OUs),也可以通过选择根目录来选择整个组织。

此报告通过提供区域细分来帮助您评估准备情况,以及属性的当前状态是跨账户(通过numberOfMatchedAccounts一致还是不一致(通过numberOfUnmatchedAccounts)。您还可以看到最常用的值,即该属性中最常观察到的配置值。

选择附加用于强制执行基准配置的声明性策略取决于您的具体用例。

有关更多信息和说明性示例,请参阅声明性政策的账户状态报告

先决条件

在生成账户状态报告之前,必须执行以下步骤

  1. StartDeclarativePoliciesReportAPI只能由组织的管理账户或委托管理员调用。

  2. 在生成报告之前,您必须拥有 S3 存储桶(创建新存储桶或使用现有存储桶),该存储桶必须位于发出请求的同一区域,并且必须具有相应的 S3 存储桶策略。有关 S3 策略的示例,请参阅《亚马逊EC2API参考资料》中示例下的 Amazon S3 策略示例

  3. 您必须为声明性策略将强制执行基准配置的服务启用可信访问。这将创建一个只读的服务相关角色,该角色用于生成账户状态报告,说明组织中账户的现有配置。

    使用控制台

    对于 Organizations 控制台,此步骤是启用声明性策略过程的一部分。

    使用 Amazon CLI

    对于 Amazon CLI,请使用 E A nableAWSService ccess API。

    有关如何为特定服务启用可信访问权限的更多信息, Amazon CLI 请参阅 Amazon Web Services 服务 ,您可以与一起使用 Amazon Organizations

  4. 每个组织一次只能生成一份报告。在另一份报告正在进行时尝试生成报告会导致错误。

访问合规状态报告

最小权限

要生成合规性状态报告,您需要获得运行以下操作的权限:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

Amazon Web Services Management Console

使用以下步骤生成账户状态报告。

生成账户状态报告
  1. 登录 Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. 在 “政策” 页面上,选择 “声明性策略”。EC2

  3. 在 “声明性政策 EC2” 页面上,从 “操作” 下拉菜单中选择 “查看账户状态报告”。

  4. 查看账户状态报告页面上,选择生成状态报告

  5. 在 “组织结构” 控件中,指定要在报告中包含哪些组织单位 (OUs)。

  6. 选择提交

Amazon CLI & Amazon SDKs

生成账户状态报告

使用以下操作生成合规性状态报告、检查其状态和查看报告:

  • ec2:start-declarative-policies-report:生成账户状态报告。报告是异步生成的,可能需要几个小时才能完成。有关更多信息,请参阅 Amazon EC2 API 参考StartDeclarativePoliciesReport中的。

  • ec2:describe-declarative-policies-report:描述账户状态报告的元数据,包括报告的状态。有关更多信息,请参阅 Amazon EC2 API 参考DescribeDeclarativePoliciesReports中的。

  • ec2:get-declarative-policies-report-summary:检索账户状态报告摘要。有关更多信息,请参阅 Amazon EC2 API 参考GetDeclarativePoliciesReportSummary中的。

  • ec2:cancel-declarative-policies-report:取消生成账户状态报告。有关更多信息,请参阅 Amazon EC2 API 参考CancelDeclarativePoliciesReport中的。