Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Agregación de datos multicuenta y multirregión para AWS Config
Un agregador es un tipo AWS Config de recurso que recopila datos AWS Config de configuración y conformidad de lo siguiente:
+ Varias cuentas y varias AWS regiones.
+ Cuenta única y varias AWS regiones.
+ Una organización AWS Organizations y todas las cuentas de esa organización que AWS Config estén habilitadas.
Utilice un agregador para ver la configuración de recursos y los datos de conformidad registrados en AWS Config. La siguiente imagen muestra cómo un agregador recopila AWS Config datos de varias cuentas y regiones.
![\[La imagen muestra el proceso de agregación AWS Config de datos. Consiste en recopilar datos de varias AWS regiones y cuentas de origen, agregar la información de configuración de los recursos y los datos de conformidad, y presentar una vista agregada para facilitar la administración.\]](http://docs.aws.amazon.com/es_es/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## Casos de uso
+ **Supervisión del cumplimiento**: puede agregar datos de cumplimiento para evaluar las posturas generales de cumplimiento de su organización o de todas las cuentas y regiones.
+ **Seguimiento de cambios**: puede hacer un seguimiento de los cambios en los recursos a lo largo del tiempo en toda su organización o en todas las cuentas y regiones.
+ **Relaciones de recursos**: puede analizar las dependencias y relaciones de los recursos en toda su organización o en todas las cuentas y regiones.
**nota**
Los agregadores proporcionan una *vista de solo lectura* de las cuentas y regiones de origen que el agregador está autorizado a ver; para ello, replican los datos de las cuentas de origen en la cuenta del agregador. Los agregadores no proporcionan acceso mutante ni a la cuenta ni a la región de origen. Por ejemplo, esto significa que no puede implementar reglas a través de un agregador ni enviar archivos de instantáneas a una cuenta o región de origen a través de un agregador.
El uso de agregadores no implica ningún costo adicional.
## Terminología
Una *cuenta de origen es la cuenta* Cuenta de AWS desde la que desea agregar los datos de conformidad y configuración AWS Config de los recursos. Una cuenta de origen puede ser una cuenta individual o una organización de AWS Organizations. Puede proporcionar las cuentas de origen de forma individual o puede recuperarlas a través de ellas AWS Organizations.
Una *región de origen* es la AWS región desde la que desea agregar los datos AWS Config de configuración y conformidad.
Una *cuenta de agregador* es la cuenta en la que se crea un agregador.
La *autorización* se refiere a los permisos que se conceden a una cuenta y región de agregador para recopilar los datos AWS Config de configuración y conformidad. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations.
Un agregador vinculado a un *servicio está vinculado a un agregador* específico. Servicio de AWS El servicio vinculado establece los datos de configuración y cumplimiento en el ámbito.
## Compatibilidad de la región
Actualmente, la agregación de datos de varias cuentas y regiones es compatible en las siguientes regiones:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/config/latest/developerguide/aggregate-data.html)
# Visualización de los datos de conformidad e inventario en el panel de control del agregador para AWS Config
El panel de control de la página de **agregadores** muestra los datos de configuración de los recursos agregados AWS . Proporciona una descripción general de las reglas, los paquetes de conformidad y sus estados de conformidad.
El panel proporciona el recuento total de AWS recursos. Los tipos de recursos y las cuentas de origen se clasifican por el número más alto de recursos. También proporciona un recuento de las reglas conformes y no conformes y de los paquetes de conformidad. Las reglas no conformes se clasifican según el número más alto de recursos no conformes. Los paquetes de conformidad y las cuentas de origen no conformes se clasifican según el número más alto de reglas no conformes.
Tras la configuración AWS Config, comienza a agregar los datos de las cuentas de origen especificadas en un agregador. Puede tardar unos minutos en mostrarse el estado de conformidad de las reglas.
## Uso del panel del agregador
1. [Inicie sesión en la AWS Config consola de su casa Consola de administración de AWS y ábrala. https://console.aws.amazon.com/config/](https://console.aws.amazon.com/config/home)
1. Navegue hasta la página **Agregadores**. En ella aparecen:
+ Sus reglas y estados de cumplimiento.
+ Sus paquetes de conformidad y sus estados de conformidad.
+ Sus AWS recursos y sus datos de configuración.
1.
Elija un agregador en el panel de control. Filtre los agregadores por nombre de agregador. Aparecerán los siguientes widgets:
+ **Inventario de recursos**
Aquí puede ver los 10 tipos de recursos principales del agregador seleccionado, en orden descendente según el recuento de recursos. Elija el número total de recursos del agregador seleccionado, que aparece entre paréntesis después de **Inventario de recursos**, para ir a la página de **recursos** agregados, donde se muestran todos los recursos de un agregador. También puede elegir un tipo de recurso en el widget para ir a la página de **recursos** agregados, filtrada según el tipo de recurso especificado.
+ **Cuentas por recuento de recursos**
Aquí puede ver las cinco cuentas principales del agregador seleccionado, en orden descendente según el recuento de recursos. Elija una cuenta en el widget para ir a la página **Recursos**, filtrada en función de la cuenta especificada.
+ **Reglas no conformes**
Consulte las cinco reglas principales con incumplimiento del agregador seleccionado, en orden descendente según la cantidad de recursos con incumplimiento. Elija una regla en el widget para ir a la página de detalles de la regla especificada. Seleccione **Ver todas las reglas no conformes** para ir a la página de **reglas** agregadas, donde se muestran todas las reglas de un agregador.
+ **Cuentas por reglas no conformes**
Aquí se muestran las cinco cuentas principales del agregador seleccionado, en orden descendente según el número de reglas no conformes. Elija una cuenta en el widget para ir a la página de **reglas** agregadas, donde se muestran todas las reglas de un agregador filtradas según la cuenta especificada.
+ **Cuentas por paquetes de conformidad no conformes**
Aquí se muestran las cinco cuentas principales del agregador seleccionado, en orden descendente según el número de paquetes de conformidad no conformes. Elija una cuenta en el widget para ir a la página de **paquete de conformidad** agregado, donde se muestran todos los paquetes de conformidad de un agregador filtradas según la cuenta especificada.
1. En el panel de navegación izquierdo, elija una de las siguientes opciones del menú desplegable:
+ **Panel de cumplimiento**
Aquí se muestran los paneles de cumplimiento automatizados mediante los widgets que resumen la información sobre el cumplimiento de los recursos en el agregador. Se muestran datos como los 10 tipos de recursos principales ordenados por recursos no conformes y los 10 principales paquetes de conformidad en el nivel de cuenta desglosados por reglas no conformes. Para obtener información sobre estos gráficos y tablas, consulte [Paneles de cumplimiento](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard).
+ **Paquetes de conformidad**
Vea todos los paquetes de conformidad que se crearon y se vincularon a los diferentes Cuentas de AWS dentro de su agregador. La página **Paquete de conformidad** muestra una tabla con el nombre, la región, el ID de cuenta y el estado de conformidad de cada paquete de conformidad. En esta página, puede elegir un paquete de conformidad y **Ver detalles** para obtener más información sobre sus normas, recursos y estado de conformidad.
+ **Reglas**
Aquí se muestran todas las reglas que se han creado y vinculado a las distintas cuentas de AWS dentro del agregador. La página **Reglas** muestra una tabla con el nombre, el estado de cumplimiento, la región y la cuenta de cada regla. En esta página, puede elegir una regla y **Ver detalles** para obtener información, como el agregador, la región, el ID de cuenta y los recursos incluidos en el ámbito.
+ **Panel de inventario**
Aquí se muestran los paneles de inventario automatizados mediante los widgets que resumen la información sobre los datos de configuración de los recursos en el agregador. Se muestran datos como los 10 tipos de recursos principales por recuento de recursos y las 10 cuentas principales por recuento de recursos. Para obtener información sobre estos gráficos y tablas, consulte [Paneles de inventario](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard).
+ **Recursos**
Aquí se muestran todos los recursos registrados y vinculados a las distintas cuentas de AWS dentro del agregador. En la página **Recursos**, elija un recurso y **Ver detalles** para ver sus detalles, las reglas asociadas a él y la configuración actual del recurso. También se muestra información sobre el recurso, como su agregador, región, ID de cuenta, nombre del recurso, tipo de recurso e ID de recurso.
+ **Autorizaciones**
Aquí puede ver y administrar todas las cuentas actualmente autorizadas o pendientes de autorización. En la página **Autorizaciones**, seleccione **Añadir una autorización** para proporcionar acceso a otra cuenta. Seleccione **Eliminar la autorización** para revocar el acceso desde un ID de cuenta.
**nota**
**Solución de problemas**
Puede aparecer el mensaje **Data collection from all source accounts and regions is incomplete** en la vista agregada por los siguientes motivos:
La transferencia de AWS Config reglas y datos de configuración de los AWS recursos que no cumplen con los requisitos está en curso.
AWS Config no encuentra reglas que coincidan con el filtro que ha aplicado. Seleccione la cuenta o la región adecuadas e inténtelo de nuevo.
Es posible que este mensaje se muestre en la vista agregada: **Data collection from all source accounts and regions is incomplete. You can view the below data only for 24 hours.** Se muestra por una de las siguientes razones:
AWS Config no puede acceder a los detalles de su organización debido a una función de IAM que no es válida. Si el rol de IAM sigue sin ser válido durante más de 24 horas, AWS Config elimina los datos de toda la organización.
AWS Config el acceso al servicio está deshabilitado en su organización.
## Panel de cumplimiento
Aquí se muestran los paneles de cumplimiento automatizados mediante los widgets que resumen la información sobre el cumplimiento de los recursos en el agregador. El panel muestra solo reglas con resultados de cumplimiento.
**nota**
**Limitaciones**
La información del panel de control de conformidad la proporciona la función de consultas avanzadas de AWS Config, y esta función no admite estructuras anidadas ni desempaquetar matrices anidadas. Esto significa que el panel de cumplimiento muestra el cumplimiento general de un recurso y no el estado de cumplimiento de cada regla específica que informa sobre un recurso.
Por ejemplo, si selecciona el elemento de configuración (CI) para el tipo de recurso `AWS::Config::ResourceCompliance`, el panel mostrará los resultados de cumplimiento de todas las reglas que se refieran a ese recurso. Si hay diez reglas que se refieren al recurso, nueve de ellas son COMPLIANT y solo una es NON\$1COMPLIANT, el cumplimiento general de ese recurso será NON\$1COMPLIANT.
**Compliance Summary By Resources**
Muestra un gráfico circular que compara la cantidad de recursos conformes con los recursos no conformes del agregador seleccionado. Pase el ratón sobre el gráfico para ver el número exacto y el porcentaje de recursos conformes y no conformes.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Los 10 tipos de recursos principales ordenados por recursos no conformes**
Muestra un gráfico de barras horizontales en el que se comparan hasta diez tipos de recursos del agregador seleccionado en orden descendente según el número de recursos no conformes. Pase el ratón sobre el gráfico para ver el número exacto de recursos no conformes para cada tipo de recurso.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Las 10 cuentas principales ordenadas por recursos no conformes**
*Las 10 cuentas principales ordenadas por recursos no conformes* muestra un gráfico de barras horizontales en el que se comparan hasta diez cuentas del agregador seleccionado en orden descendente según el número de recursos no conformes. Pase el ratón sobre el gráfico para ver el número exacto de recursos no conformes para cada cuenta.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Las 10 regiones principales ordenadas por recursos no conformes**
Muestra un gráfico de barras horizontales en el que se comparan hasta diez regiones donde el agregador seleccionado recopila datos en orden descendente según el número de recursos no conformes. Pase el ratón sobre el gráfico para ver el número exacto de recursos no conformes para cada región.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado.
**Los 10 paquetes de conformidad de cuenta principales ordenados por reglas no conformes**
Muestra un gráfico de barras horizontales en el que se comparan hasta diez paquetes de conformidad en el nivel de cuenta del agregador seleccionado, en orden descendente según el número de reglas no conformes. Pase el ratón sobre el gráfico para ver el porcentaje de reglas conformes y no conformes para cada paquete de conformidad en el nivel de cuenta.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Los 10 paquetes de conformidad de organización principales ordenados por reglas no conformes**
Muestra un gráfico de barras horizontales en el que se comparan hasta diez paquetes de conformidad en el nivel organizativo del agregador seleccionado, en orden descendente según el número de reglas no conformes. Pase el ratón sobre el gráfico para ver el porcentaje de reglas conformes y no conformes para cada paquete de conformidad en el nivel organizativo.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Las 10 cuentas principales ordenadas por reglas no conformes en todos los paquetes de conformidad**
*Las 10 cuentas principales ordenadas por reglas no conformes en todos los paquetes de conformidad* muestra un gráfico de barras horizontales en el que se comparan hasta diez cuentas del agregador seleccionado en orden descendente según el número de reglas no conformes en todos los paquetes de conformidad. Pase el ratón sobre el gráfico para ver el número exacto de reglas no conformes en cada cuenta.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
## Panel de inventario
Aquí se muestran los paneles de inventario automatizados mediante los widgets que resumen la información sobre los datos de configuración de los recursos en el agregador.
**Top 10 resource types by resource count**
Muestra un gráfico de barras horizontales en el que se comparan hasta 10 tipos de recursos del agregador seleccionado en orden descendente según el recuento de recursos. Pase el ratón sobre el gráfico para ver el número exacto de recursos para cada tipo de recurso.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Resource count by region**
Muestra un gráfico de barras horizontales en el que se comparan hasta 10 regiones donde el agregador seleccionado recopila datos en orden descendente según el recuento de recursos. Pase el ratón sobre el gráfico para ver el número exacto de recursos para cada región.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado.
**Top 10 accounts by resource count**
Muestra un gráfico de barras horizontales en el que se comparan hasta 10 cuentas del agregador seleccionado en orden descendente según el recuento de recursos. Pase el ratón sobre el gráfico para ver el número exacto de recursos para cada tipo de recurso.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos.
**Resource count by Amazon EC2 service resource types**
Muestra un gráfico de barras horizontales en el que se comparan tipos de recursos de Amazon EC2 del agregador seleccionado en orden descendente por recuento de recursos. Pase el ratón sobre el gráfico para ver el número exacto de recursos para cada tipo de recurso de Amazon EC2.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos. Para utilizar este gráfico, debe configurar el registro para que guarde los tipos de recursos de Amazon EC2. Para obtener más información, consulte [Seleccionar](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) qué registros de recursos. AWS Config
**Top 10 EC2 instance types used**
Muestra un gráfico de barras horizontales en el que se comparan hasta 10 tipos de instancia de Amazon EC2 del agregador seleccionado en orden descendente por uso. Pase el ratón sobre el gráfico para ver el uso de cada tipo de instancia de EC2.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos. Para utilizar este gráfico, debe configurar el registro para guardar el tipo de recurso de instancia de EC2. Para obtener más información, consulte [Recodificación de AWS recursos](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**EBS Volume counts by volume type and size**
Muestra un gráfico de barras verticales que compara los volúmenes de EBS del agregador seleccionado por recuento de recursos. Pase el ratón sobre el gráfico para ver el recuento y el desglose del tamaño para cada tipo de volumen de EBS.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos. Para utilizar este gráfico, debe configurar el registro de manera que grabe el tipo de recurso de volumen de EC2. Para obtener más información, consulte [Seleccionar qué AWS Config registros de recursos](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Number of EC2 instances that are running vs. stopped by type**
Muestra un gráfico de barras horizontales en el que se comparan los tipos de instancias de EC2 del agregador seleccionado que se están ejecutando con las instancias de EC2 que se detienen por tipo de instancia. Pase el ratón sobre el gráfico para ver el número exacto de instancias de EC2 detenidas y en ejecución para cada tipo.
Los datos que se muestran dependen de los ajustes del registro de configuración de cada cuenta del agregador seleccionado y de las regiones en las que el agregador seleccionado está configurado para recopilar datos. Para utilizar este gráfico, debe configurar el registro para guardar el tipo de recurso de instancia de EC2. Para obtener más información, consulte [Recodificación de AWS recursos](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
# Creación de agregadores para AWS Config
Puede usar la consola de AWS Config o la AWS CLI para crear los agregadores. Desde AWS Config, puede elegir **Añadir los ID de las cuentas individuales** o **Añadir mi organización** desde el lugar en el que desee añadir los datos. Para la AWS CLI, hay dos procedimientos diferentes.
------
#### [ Creating Aggregators (Console) ]
En la página **Agregador**, puede crear un agregador especificando los ID de cuenta de origen o la organización y las regiones desde donde desea agregar datos.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Vaya a la página **Agregadores** y elija **Crear agregador**.
1. **Permitir la replicación de datos** concede permiso a AWS Config para replicar los datos de las cuentas de origen en una cuenta de agregador.
Elija **Permitir que AWS Config replique datos desde las cuentas de origen en una cuenta de agregador. Debe seleccionar esta casilla de verificación para seguir agregando un agregador**.
1. En **Nombre del agregador**, escriba el nombre del agregador.
El nombre del agregador debe ser nombre único con un máximo de 64 caracteres alfanuméricos. El nombre puede contener guiones y guiones bajos.
1. En **Seleccionar cuentas de origen**, elija **Añadir los ID de las cuentas individuales** o **Añadir mi organización** desde donde desee agregar datos.
**nota**
Se requiere autorización cuando se utilizan **Agregar ID de cuenta individuales** para seleccionar las cuentas de origen.
+ Si elige **Agregar ID de cuenta individuales**, puede agregar ID de cuenta individuales para una cuenta de agregador.
1. Elija **Agregar cuentas de origen** para añadir los ID de cuenta que desee.
1. Elija **Agregar ID de Cuenta de AWS** para agregar manualmente ID de cuenta de Cuenta de AWS separados por comas. Si desea agregar los datos de la cuenta actual, escriba el ID de la cuenta.
O BIEN
Elija **Cargar un archivo** para cargar un archivo (.txt o.csv) con ID de cuenta de Cuenta de AWS separados por comas.
1. Elija **Agregar cuentas de origen** para confirmar la opción elegida.
+ Si elige **Agregar mi organización**, puede agregar todas las cuentas de su organización a una cuenta de agregador.
**nota**
Debe haber iniciado sesión en la cuenta de administración o la de un administrador delegado registrado y todas las características debe estar habilitadas en su organización. Si la persona que llama es una cuenta de administración, AWS Config llama a la API `EnableAwsServiceAccess` para [permitir la integración](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) entre AWS Config y AWS Organizations. Si la persona que llama es un administrador delegado registrado, AWS Config llama a la API `ListDelegatedAdministrators` para comprobar si la persona que llama es un administrador delegado válido.
Asegúrese de que la cuenta de administración registre un administrador delegado para el nombre de la entidad principal de servicio de AWS Config (onfig.amazonaws.com) antes de que el administrador delegado cree un agregador. Para registrar un administrador delegado, consulte [Registro de un administrador delegado para AWS Config](aggregated-register-delegated-administrator.md).
Debe asignar un rol de IAM que permita a AWS Config llamar a API de solo lectura para su organización.
1. Seleccione **Elegir un rol de su cuenta** para seleccionar un rol de IAM existente.
**nota**
En la consola de IAM, asocie la política administrada de `AWSConfigRoleForOrganizations` a su rol de IAM. Asociar esta política permite a AWS Config llamar a las API AWS Organizations, `DescribeOrganization` y `ListAWSServiceAccessForOrganization` de `ListAccounts`. De forma predeterminada, `config.amazonaws.com` se especifica automáticamente como entidad de confianza.
1. Elija **Crear un rol** y escriba el nombre del rol de IAM para crear el rol de IAM.
1. En **Regiones**, elija las regiones cuyos datos desee agregar.
+ Seleccione una o varias regiones, o todas las Regiones de AWS.
+ Seleccione **Incluir futuras Regiones de AWS** para agregar datos de todas las Regiones de AWS futuras en las que esté habilitada la agregación de datos de varias cuentas y regiones.
1. Elija **Guardar**. AWS Config muestra el agregador.
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. Abra un símbolo del sistema o una ventana de terminal.
1. Escriba el siguiente comando para crear un agregador denominado **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
Para `account-aggregation-sources`, introduzca una de las siguientes opciones:
+ Escriba una lista separada por comas de los ID de Cuenta de AWS cuyos datos desea agregar. Encierre los ID de cuenta entre corchetes y asegúrese de aplicar escape a las comillas (por ejemplo, `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
+ También puede cargar un archivo JSON con los ID de Cuenta de AWS separados por comas. Cargue el archivo utilizando la siguiente sintaxis: `--account-aggregation-sources MyFilePath/MyFile.json`
El archivo JSON debe tener el siguiente formato:
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. Pulse Intro para ejecutar el comando.
Debería ver una salida similar a esta:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
Antes de iniciar este procedimiento, debe haber iniciado sesión en la cuenta de administración o la de un administrador delegado registrado y todas las características debe estar habilitadas en su organización.
**nota**
Asegúrese de que la cuenta de administración registre un administrador delegado con los siguientes nombres de la entidad principal de servicio de AWS Config (`config.amazonaws.com` y `config-multiaccountsetup.amazonaws.com`) antes de que el administrador delegado cree un agregador. Para registrar un administrador delegado, consulte [Registro de un administrador delegado para AWS Config](aggregated-register-delegated-administrator.md).
1. Abra un símbolo del sistema o una ventana de terminal.
1. Si no ha creado un rol de IAM para su agregador de AWS Config, introduzca el siguiente comando:
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**nota**
Copie el nombre de recurso de Amazon (ARN) desde este rol de IAM para utilizarlo al crear su agregador de AWS Config. Puede encontrar los ARN en el objeto de respuesta.
1. Si no ha asociado ninguna política a su rol de IAM, adjunte la política gestionada de [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) o introduzca el siguiente comando:
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. Introduzca el siguiente comando para crear un agregador denominado **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. Pulse Intro para ejecutar el comando.
Debería ver una salida similar a esta:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Registro de un administrador delegado para AWS Config
Los administradores delegados son cuentas de una AWS organización determinada a las que se conceden privilegios administrativos adicionales para un AWS servicio específico. Para obtener más información, consulte [Delegated administrator](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) en la *Guía del usuario de AWS Organizations *. Para registrar un administrador delegado, debe usar la AWS CLI .
**Registro de un administrador delegado**
1. Inicie sesión con las credenciales de la cuenta de administración.
1. Abra un símbolo del sistema o una ventana de terminal.
1. Introduzca el siguiente comando para habilitar el acceso al servicio como administrador delegado para que su organización pueda implementar y administrar AWS Config las reglas y los paquetes de conformidad en toda la organización:
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. Introduzca el siguiente comando para habilitar el acceso a los servicios como administrador delegado de su organización a fin de agregar AWS Config datos en toda la organización:
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. Para comprobar si la activación del acceso al servicio se ha completado, introduzca el siguiente comando y pulse Intro para ejecutarlo.
```
aws organizations list-aws-service-access-for-organization
```
Debería ver una salida similar a esta:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. A continuación, introduzca el siguiente comando para registrar una cuenta de miembro como administrador delegado para AWS Config.
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
and
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. Para comprobar si se ha completado el registro del administrador delegado, introduzca el siguiente comando desde la cuenta de administración y pulse Intro para ejecutar el comando.
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
and
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
Debería ver una salida similar a esta:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# Edición de agregadores para AWS Config
Puede usar la consola de AWS Config o la AWS CLI para editar agregadores.
------
#### [ Editing Aggregators (Console) ]
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Vaya a la página **Agregador** y seleccione el nombre del agregador.
1. Elija **Acciones** y, a continuación, elija **Editar**.
1. Utilice las secciones de la página **Editar agregador** para cambiar las cuentas de origen, los roles de IAM o las regiones para el agregador.
**nota**
No puede cambiar el tipo de origen de cuentas individuales a organización y viceversa.
1. Seleccione **Save**.
------
#### [ Editing Aggregators (AWS CLI) ]
1. Puede utilizar el comando `put-configuration-aggregator` para actualizar o editar un agregador de configuración.
Introduzca el siguiente comando para añadir un ID de cuenta nuevo a **MyAggregator**:
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. En función de su cuenta de origen, debería ver un resultado similar al siguiente:
**Para cuentas individuales**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
O BIEN
**Para una organización**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Eliminación de agregadores para AWS Config
Puede usar la consola de AWS Config o la AWS CLI para eliminar agregadores.
------
#### [ Deleting Aggregators (Console) ]
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Config en [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Vaya a la página **Agregador** y seleccione el nombre del agregador.
1. Elija **Acciones** y, a continuación, elija **Eliminar**.
Se muestra un mensaje de advertencia. Al eliminar un agregador, se pierden todos los datos agregados. No puede recuperar estos datos, pero los datos de las cuentas de origen no se verán afectados.
1. Elija **Eliminar** para confirmar la opción elegida.
------
#### [ Deleting Aggregators (AWS CLI) ]
Escriba el siguiente comando:
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
Si se ejecuta correctamente, el comando no muestra ninguna salida adicional.
------
# Autorización de las cuentas agregadoras para recopilar datos de AWS Config configuración y cumplimiento
La *autorización* se refiere a los permisos que concedes a una cuenta y región de agregador para recopilar tus datos AWS Config de configuración y conformidad. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations. Puede usar la AWS Config consola o la AWS CLI para autorizar las cuentas de los agregadores.
**Topics**
+ [
## Consideraciones
](#aggregated-add-authorization-considerations)
+ [
## Autorización de envío
](#aggregated-add-authorization-procedure)
## Consideraciones
**Hay dos tipos de agregadores: el agregador de cuentas individuales y el agregador de la organización**
En el caso de un agregador de cuentas individuales, se requiere la autorización de todas las cuentas y regiones de origen que quiera incluir, tanto las cuentas externas y las regiones como las cuentas de miembros de la organización y las regiones.
En el caso de un agregador de organizaciones, no se requiere autorización para las regiones de cuentas de los miembros de la organización, ya que la autorización está integrada en el AWS Organizations servicio.
**Los agregadores no se activan automáticamente AWS Config en tu nombre**
AWS Config debe estar habilitado en la cuenta y la región de origen para cualquiera de los tipos de agregadores para que AWS Config los datos se generen en la cuenta y la región de origen.
## Autorización de envío
------
#### [ Adding Authorization (Console) ]
Puede añadir una autorización para conceder permiso a las cuentas agregadoras y a las regiones para recopilar datos de AWS Config configuración y conformidad.
1. Inicie sesión en la AWS Config consola de su [https://console.aws.amazon.com/config/casa Consola de administración de AWS](https://console.aws.amazon.com/config/home) y ábrala.
1. Vaya a la página **Authorizations (Autorizaciones)** y elija **Add authorization (Añadir autorización)**.
1. En **Aggregator account** (Cuenta de agregador), escriba el ID de 12 dígitos de la cuenta de agregador.
1. En **Región del agregador**, elija las Regiones de AWS en las que la cuenta de agregador tiene permiso para recopilar datos de configuración y conformidad de AWS .
1. Elija **Add authorization (Añadir autorización)** para confirmar la opción elegida.
AWS Config muestra una cuenta del agregador, una región y un estado de autorización.
**nota**
También puede añadir autorizaciones a las cuentas y regiones del agregador de forma programática mediante plantillas de muestra. CloudFormation Para obtener más información, consulte [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html) en la *Guía del usuario de CloudFormation *.
------
#### [ Authorizing a Pending Request (Console) ]
Si tiene una solicitud de autorización pendiente para una cuenta de agregador existente, verá el estado de la solicitud en la página **Autorizaciones**. Puede autorizar una solicitud pendiente desde esta página.
1. Elija la cuenta de agregador que desee autorizar y, a continuación, **Autorizar**.
Aparece un mensaje de confirmación para confirmar que desea conceder permiso a la cuenta agregadora para recopilar AWS Config datos de esta cuenta.
1. Vuelva a seleccionar **Autorizar** para confirmar que desea conceder el permiso a la cuenta del agregador.
El estado de autorización cambia de **Requesting for authorization (Autorización solicitada)** a **Authorized (Autorizada)**.
**Periodo de aprobación de la autorización**
Se requiere la aprobación de la autorización para agregar cuentas de origen a un agregador de cuentas individual. Una solicitud de aprobación de autorización pendiente estará disponible durante siete días después de que un agregador de cuentas individual agregue una cuenta de origen.
------
#### [ Adding Authorization (AWS CLI) ]
1. Abra un símbolo del sistema o una ventana de terminal.
1. Introduzca el siguiente comando:
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. Debería ver una salida similar a esta:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# Eliminar la autorización de las cuentas de agregador para recopilar datos AWS Config de configuración y cumplimiento
La *autorización* se refiere a los permisos que concedes a una cuenta y región de agregador para recopilar tus datos AWS Config de configuración y conformidad. La autorización no es necesaria si se agregan cuentas de origen que forman parte de AWS Organizations. Puede usar la AWS Config consola o la AWS CLI para eliminar las autorizaciones.
**Topics**
+ [
## Consideraciones
](#aggregated-delete-authorization-considerations)
+ [
## Eliminación de la autorización
](#aaggregated-delete-authorization-procedure)
## Consideraciones
**Hay dos tipos de agregadores: el agregador de cuentas individuales y el agregador de la organización**
En el caso de un agregador de cuentas individuales, se requiere la autorización de todas las cuentas y regiones de origen que quiera incluir, tanto las cuentas externas y las regiones como las cuentas de miembros de la organización y las regiones.
En el caso de un agregador de organizaciones, no se requiere autorización para las regiones de cuentas de los miembros de la organización, ya que la autorización está integrada en el AWS Organizations servicio.
**Los agregadores no se activan automáticamente AWS Config en su nombre**
AWS Config debe estar habilitado en la cuenta y la región de origen para cualquiera de los tipos de agregadores para que AWS Config los datos se generen en la cuenta y la región de origen.
## Eliminación de la autorización
------
#### [ Deleting Authorization (Console) ]
1. Inicie sesión en la AWS Config consola de su [https://console.aws.amazon.com/config/casa Consola de administración de AWS](https://console.aws.amazon.com/config/home) y ábrala.
1. Elija la cuenta de agregador cuya autorización desee eliminar y, a continuación, **Eliminar**.
Se muestra un mensaje de advertencia. Al eliminar esta autorización, AWS Config los datos dejarán de compartirse con la cuenta del agregador.
1. Elija **Eliminar** para confirmar la opción elegida.
Se ha eliminado la cuenta de agregador.
------
#### [ Deleting Authorization (AWS CLI) ]
Introduzca el siguiente comando:
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
Si se ejecuta correctamente, el comando no muestra ninguna salida adicional.
------
# Visualización de agregadores para AWS Config
Puede usar la consola de AWS Config o la AWS CLI para ver agregadores.
------
#### [ Viewing Aggregators (Console) ]
Para ver los paquetes de conformidad en la Consola de administración de AWS, consulte [Aggregator Dashboard](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html).
------
#### [ Viewing Aggregators (AWS CLI) ]
1. Escriba el siguiente comando:
```
aws configservice describe-configuration-aggregators
```
1. En función de su cuenta de origen, debería ver un resultado similar al siguiente:
**Para cuentas individuales**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
O BIEN
**Para una organización**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Solución de problemas de agregación de datos multicuenta y multirregión para AWS Config
AWS Config es posible que no agregue datos de las cuentas de origen por uno de los siguientes motivos:
****
| Si ocurre esto | Haga lo siguiente |
| --- | --- |
| AWS Config no está habilitado en la cuenta de origen para las cuentas de una organización. | AWS Config Actívela en la cuenta de origen y autorice a la cuenta agregadora a recopilar datos. |
| No se ha concedido autorización a una cuenta de agregador. | Inicie sesión en la cuenta de origen y autorice a la cuenta del agregador para recopilar datos AWS Config . |
| Es posible que haya un problema temporal que impida la acumulación de datos. | La acumulación de datos está sujeta a retrasos. Espere unos minutos. |
AWS Config es posible que no agregue datos de una organización por uno de los siguientes motivos:
****
| Si ocurre esto | Haga lo siguiente |
| --- | --- |
| AWS Config no puede acceder a los detalles de su organización debido a una función de IAM no válida. | Cree un rol de IAM o seleccione un rol de IAM válido en la lista de roles de IAM. Si el rol de IAM no es válido durante más de 7 días, AWS Config elimina los datos de toda la organización. |
| AWS Config el acceso al servicio está deshabilitado en su organización. | Puede habilitar la integración entre AWS Config y AWS Organizations a través de la EnableAWSServiceAccess API. Si eliges Añadir mi organización en la consola, AWS Config se habilita automáticamente la integración entre AWS Config y AWS Organizations. |
| AWS Config no puede acceder a los detalles de su organización porque no todas las funciones están habilitadas en su organización. | [Activa todas las funciones](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) de AWS Organizations la consola. |
| Los cambios organizativos, como añadir una cuenta, eliminar una cuenta, habilitar el acceso a los servicios y deshabilitar el acceso a los servicios, no se actualizan inmediatamente en las regiones de Medio Oriente (Bahréin) y Asia Pacífico (Hong Kong). | Los cambios organizativos están sujetos a un retraso de 2 horas. Espere 2 horas para ver todos los cambios en la organización. |