Verwalten von Conformance Packs für alle Konten in Ihrer Organisation - AWS Config
ÜberlegungenBereitstellungUnterstützung von Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten von Conformance Packs für alle Konten in Ihrer Organisation

Verwenden Sie AWS Config um Konformitätspakete für alle zu verwalten AWS-Konten innerhalb einer Organisation. Sie haben die folgenden Möglichkeiten:

  • Zentrales Bereitstellen, Aktualisieren und Löschen von Conformance Packs für alle Mitgliedskonten in einer Organisation in AWS Organizations.

  • Stellen Sie einen gemeinsamen Satz von bereit AWS Config Regeln und Abhilfemaßnahmen für alle Konten und spezifizieren Sie Konten, wo AWS Config Regeln und Abhilfemaßnahmen sollten nicht erstellt werden.

  • Verwenden Sie das Verwaltungskonto in AWS Organizations um die Unternehmensführung durchzusetzen, indem sichergestellt wird, dass die zugrunde liegenden AWS Config Regeln und Abhilfemaßnahmen können nicht durch die Mitgliedskonten Ihrer Organisation geändert werden.

Überlegungen

Für Bereitstellungen in verschiedenen Regionen

Der API Aufruf zur kontenübergreifenden Bereitstellung von Regeln und Konformitätspaketen lautet AWS Regionsspezifisch. Auf Organisationsebene müssen Sie den Kontext Ihres API Anrufs in eine andere Region ändern, wenn Sie Regeln in anderen Regionen bereitstellen möchten. Wenn Sie beispielsweise eine Regel in USA Ost (Nord-Virginia) bereitstellen möchten, ändern Sie die Region auf USA Ost (Nord-Virginia) und rufen Sie dann PutOrganizationConfigRule auf.

Für Konten innerhalb einer Organisation

Wenn ein neues Konto einer Organisation beitritt, wird die Regel oder das Konformitätspaket für dieses Konto bereitgestellt. Wenn ein Konto eine Organisation verlässt, wird die Regel oder das Konformitätspaket entfernt.

Wenn Sie eine Organisationsregel oder ein Konformitätspaket im Konto eines Organisationsadministrators bereitstellen und dann einen delegierten Administrator einrichten und eine Organisationsregel oder ein Konformitätspaket im delegierten Administratorkonto bereitstellen, können Sie die Organisationsregel oder das Konformitätspaket im Konto des Organisationsadministrators nicht vom delegierten Administratorkonto aus sehen. Sie können auch die Organisationsregel oder das Konformitätspaket nicht vom delegierten Administratorkonto des Kontos eines Organisationsadministrators aus sehen. Die DescribeOrganizationConfigRulesund DescribeOrganizationConformancePacksAPIskönnen nur die organisationsbezogenen Ressourcen sehen und mit ihnen interagieren, die von dem Konto aus bereitgestellt wurden, das sie aufruft. APIs

Wiederholungsmechanismus für neue Konten, die einer Organisation hinzugefügt wurden

Wenn kein Recorder verfügbar ist, wird die Bereitstellung vorhandener Organisationsregeln und Konformitätspakete nur 7 Stunden lang wiederholt, nachdem ein Konto zu Ihrer Organisation hinzugefügt wurde. Es wird erwartet, dass Sie innerhalb von 7 Stunden nach dem Hinzufügen eines Kontos zu Ihrer Organisation einen Recorder erstellen, falls noch keiner vorhanden ist.

Konten für die Organisationsverwaltung, delegierte Administratoren und dienstbezogene Rollen

Wenn Sie ein Organisationsverwaltungskonto verwenden und beabsichtigen, einen delegierten Administrator für die organisatorische Bereitstellung zu verwenden, beachten Sie Folgendes AWS Config erstellt die dienstverknüpfte Rolle () SLR nicht automatisch. Sie müssen die dienstverknüpfte Rolle (SLR) mithilfe von separat manuell erstellen. IAM

Wenn Sie kein Verwaltungskonto haben, können Sie von einem delegierten Administratorkonto aus keine Ressourcen SLR für dieses Konto bereitstellen. Sie können weiterhin Conformance Packs für Mitgliedskonten von Verwaltungs- und delegierten Administratorkonten aus bereitstellen. Weitere Informationen finden Sie unter Verwenden von dienstbezogenen Rollen in der AWS Identity and Access Management (IAM) Benutzerhandbuch.

Bereitstellung

To deploy with the AWS Management Console

Um ein Conformance Pack unternehmensweit bereitzustellen, gehen Sie von der AWS Konsole, benutze AWS Systems Manager. Weitere Informationen finden Sie unter Bereitstellen AWS Config Konformitätspakete im AWS Systems Manager Benutzerleitfaden.

To deploy with the AWS API

Für Informationen zur Integration AWS Config mit AWS Organizations, siehe AWS Config and AWS Organizations in der AWS Organizations Benutzerleitfaden. Stellen Sie sicher AWS Config Die Aufzeichnung ist aktiviert, bevor Sie Folgendes verwendenAPIs, um die Conformance Pack-Regeln für alle zu verwalten AWS-Konten innerhalb einer Organisation:

Unterstützung von Regionen

Bereitstellung von Conformance Packs für alle Mitgliedskonten in einem AWS Die Organisation wird in den folgenden Regionen unterstützt.

Name der Region Region Endpunkt Protocol (Protokoll)
USA Ost (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
USA Ost (Nord-Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA West (Nordkalifornien) us-west-1 config.us-west-1.amazonaws.com HTTPS
USA West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrika (Kapstadt) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asien-Pazifik (Hongkong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asien-Pazifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asien-Pazifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asien-Pazifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asien-Pazifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asien-Pazifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asien-Pazifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asien-Pazifik (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asien-Pazifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asien-Pazifik (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Zentral) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada West (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Mailand) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spanien) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Naher Osten (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Naher Osten (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Südamerika (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ost) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS