Aggregatoren erstellen - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aggregatoren erstellen

Sie können die AWS Config Konsole oder die verwenden AWS CLI , um Ihre Aggregatoren zu erstellen. Dort können AWS Config Sie „Individuelle Konto-IDs hinzufügen“ oder „Meine Organisation hinzufügen“ auswählen, von der aus Sie Daten aggregieren möchten. Für die AWS CLI gibt es zwei verschiedene Verfahren.

Creating Aggregators (Console)

Auf der Aggregator-Seite können Sie einen Aggregator erstellen, indem Sie die Quellkonto-IDs oder die Organisation und die Regionen angeben, aus denen Sie Daten aggregieren möchten.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

  2. Rufen Sie die Seite Aggregatoren auf und wählen Sie Aggregator hinzufügen aus.

  3. Datenreplikation zulassen, erteilt die Erlaubnis AWS Config , Daten aus den Quellkonten in ein Aggregatorkonto zu replizieren.

    Wählen Sie Zulassen AWS Config , um Daten von Quellkonten in ein Aggregatorkonto zu replizieren. Sie müssen dieses Kontrollkästchen aktivieren, um mit dem Hinzufügen eines Aggregators fortfahren zu können.

  4. Geben Sie unter Aggregator name (Aggregatorname) den Namen für den Aggregator ein.

    Ein Aggregatorname muss eindeutig sein und darf maximal 64 alphanumerische Zeichen enthalten. Der Name darf Bindestriche und Unterstriche aufweisen.

  5. Wählen Sie für Quellkonten auswählen entweder Individuelle Konto-IDs hinzufügen oder Meine Organisation hinzufügen, von der aus Sie Daten aggregieren möchten.

    Anmerkung

    Eine Autorisierung ist erforderlich, wenn Sie die Option Einzelne Konto-IDs hinzufügen verwenden, um Quellkonten auszuwählen.

    • Bei Auswahl von Add individual account IDs (Einzelne Konto-IDs hinzufügen) können Sie einzelne Konto-IDs für ein Aggregatorkonto hinzufügen.

      1. Wählen Sie zum Hinzufügen von Konto-IDs die Option Add source accounts (Quellkonten hinzufügen) aus.

      2. Wählen Sie „ AWS-Konto IDs hinzufügen“, um manuell durch Kommas getrennte AWS-Konto IDs hinzuzufügen. Sollen Daten vom aktuellen Konto aggregiert werden, geben Sie die Konto-ID des Kontos ein.

        ODER

        Wählen Sie Datei hochladen, um eine Datei (.txt oder .csv) mit kommagetrennten IDs hochzuladen. AWS-Konto

      3. Wählen Sie Add source accounts (Quellkonten hinzufügen) aus, um Ihre Auswahl zu bestätigen.

    • Bei Auswahl von Add my organization (Meine Organisation hinzufügen) können Sie alle Konten in Ihrer Organisation einem Aggregatorkonto hinzufügen.

      Anmerkung

      Sie müssen beim Verwaltungskonto angemeldet oder registrierter delegierter Administrator sein. Außerdem müssen alle Funktionen in Ihrer Organisation aktiviert sein. Wenn es sich bei dem Anrufer um ein Verwaltungskonto handelt, AWS Config ruft er die EnableAwsServiceAccess API auf, um die Integration zwischen und zu ermöglichen. AWS Config AWS Organizations Wenn der Anrufer ein registrierter delegierter Administrator ist, AWS Config ruft er die ListDelegatedAdministrators API auf, um zu überprüfen, ob der Anrufer ein gültiger delegierter Administrator ist.

      Stellen Sie sicher, dass das Verwaltungskonto den delegierten Administrator für den AWS Config Dienstprinzipalnamen (config.amazonaws.com) registriert, bevor der delegierte Administrator einen Aggregator erstellt. Informationen zum Registrieren eines delegierten Administrators finden Sie unter Registrierung eines delegierten Administrators.

      Sie müssen eine IAM-Rolle zuweisen, um schreibgeschützte APIs für Ihre Organisation aufrufen zu können AWS Config .

      1. Klicken Sie auf Wählen Sie eine Rolle aus Ihrem Konto aus, um eine vorhandene IAM-Rolle auszuwählen.

        Anmerkung

        Fügen Sie in der IAM-Konsole die verwaltete Richtlinie AWSConfigRoleForOrganizations an Ihre IAM-Rolle an. Das Anhängen dieser Richtlinie ermöglicht das Aufrufen AWS Config von AWS Organizations DescribeOrganization, und ListAWSServiceAccessForOrganization APIs. ListAccounts Standardmäßig wird config.amazonaws.com automatisch als vertrauenswürdige Entität angegeben.

      2. Wählen Sie Rolle erstellen aus und geben Sie den IAM-Rollennamen ein, um die IAM-Rolle zu erstellen.

  6. Wählen Sie unter Regions (Regionen) die Regionen aus, für die Daten aggregiert werden sollen.

    • Wählen Sie eine Region, mehrere Regionen oder alle AWS-Regionen aus.

    • Wählen Sie future einbeziehen AWS-Regionen, um Daten aus allen future Daten zu aggregieren AWS-Regionen , für die Datenaggregation mit mehreren Konten und mehreren Regionen aktiviert ist.

  7. Wählen Sie Speichern. AWS Config zeigt den Aggregator an.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. Öffnen Sie eine Eingabeaufforderung oder ein Terminal-Fenster.

  2. Geben Sie den folgenden Befehl ein, um einen Aggregator mit dem Namen MyAggregator zu erstellen.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Tätigen Sie für account-aggregation-sources eine der folgenden Eingaben.

    • Eine durch Kommas getrennte Liste von AWS-Konto IDs, für die Sie Daten aggregieren möchten. Setzen Sie die Konto-IDs in eckige Klammern und achten Sie darauf, Anführungszeichen mit einem Escape-Zeichen zu versehen (z. B. "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • Sie können auch eine JSON-Datei mit AWS-Konto kommagetrennten IDs hochladen. Laden Sie die Datei mit der folgenden Syntax hoch: --account-aggregation-sources MyFilePath/MyFile.json

      Die JSON-Datei muss das folgende Format aufweisen:

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. Drücken Sie die Eingabetaste, um den Befehl auszuführen.

    Die Ausgabe sollte folgendermaßen oder ähnlich aussehen:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggreagtors using AWS Organizations (AWS CLI)

Bevor Sie damit beginnen, müssen Sie beim Verwaltungskonto angemeldet oder registrierter delegierter Administrator sein. Außerdem müssen alle Funktionen in Ihrer Organisation aktiviert sein.

Anmerkung

Stellen Sie sicher, dass das Verwaltungskonto einen delegierten Administrator mit den beiden folgenden AWS Config Dienstprinzipalnamen (config.amazonaws.com.rproxy.goskope.comundconfig-multiaccountsetup.amazonaws.com) registriert, bevor der delegierte Administrator einen Aggregator erstellt. Informationen zum Registrieren eines delegierten Administrators finden Sie unter Registrierung eines delegierten Administrators.

  1. Öffnen Sie eine Eingabeaufforderung oder ein Terminal-Fenster.

  2. Wenn Sie keine IAM-Rolle für Ihren AWS Config Aggregator erstellt haben, geben Sie den folgenden Befehl ein: 

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    Anmerkung

    Kopieren Sie den Amazon-Ressourcennamen (ARN) aus dieser IAM-Rolle, um ihn bei der Erstellung Ihres AWS Config Aggregators zu verwenden. Sie finden den ARN im Antwortobjekt.

  3. Wenn Sie Ihrer IAM-Rolle keine Richtlinie angehängt haben, fügen Sie die AWSConfigRoleForOrganizationsverwaltete Richtlinie hinzu oder geben Sie den folgenden Befehl ein: 

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. Geben Sie den folgenden Befehl ein, um einen Aggregator mit dem Namen MyAggregator zu erstellen.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. Drücken Sie die Eingabetaste, um den Befehl auszuführen.

    Die Ausgabe sollte folgendermaßen oder ähnlich aussehen:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}