本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
生成 EC2 策略的账户状态报告
账户状态报告允许您查看范围内账户的 EC2 策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元(OU),也可以通过选择根来选择整个组织。
此报告提供区域细分来帮助您评估就绪情况,并评测属性的当前状态是跨账户统一(通过 numberOfMatchedAccounts)还是不一致(通过 numberOfUnmatchedAccounts)。您还可以看到最常见值,即该属性中最常观察到的配置值。
是否附加 EC2 策略以强制执行基准配置取决于您的具体用例。
有关更多信息以及说明性示例,请参阅EC2 策略的账户状态报告。
先决条件
在生成账户状态报告之前,请完成以下步骤:
-
该
StartDeclarativePoliciesReport操作只能由管理账户或组织的委托管理员调用。 -
要从委托管理员账户运行报告,必须将该账户注册为 EC2 服务的委托管理员。
-
在生成报告之前,您必须拥有 S3 存储桶。创建新存储桶或使用现有存储桶。存储桶必须位于您提出请求的同一区域。存储桶必须有适当的存储桶策略。有关示例 S3 策略,请参阅《Amazon EC2 API Reference》中 Examples 下的 Sample Amazon S3 policy
-
您必须为 Amazon EC2 启用可信访问。这将创建一个只读的服务相关角色,该角色会生成组织中账户现有配置的账户状态报告。
使用控制台
对于 Organizations 控制台,此步骤是启用 EC2 策略的过程的一部分。
使用 Amazon CLI
对于 Amazon CLI,请使用EnableAWSServiceAccess操作。
有关如何使用为特定服务启用可信访问权限的更多信息 Amazon CLIAmazon Web Services 服务 ,请参阅可与一起使用的 Amazon Organizations。
-
每个组织一次只能生成一个报告。如果您在另一份报告正在进行时生成报告,则该操作会返回错误。
生成合规状态报告
最小权限
要生成合规性状态报告,您需要拥有运行以下操作的权限:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
注意
如果您的 Amazon S3 存储桶使用 SSE-KMS 加密,则还必须在策略中包含该kms:GenerateDataKey权限。