Requisitos previos - AWS Config
Paso 1: Comience a grabar AWS ConfigPaso 2: Requisitos previos para utilizar un paquete de conformidad con medidas correctivasPaso 2: Requisitos previos para usar un paquete de conformidad con una o más reglas AWS ConfigPaso 2: Requisitos previos para los paquetes de conformidad de la organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Antes de implementar el paquete de conformidad, active la AWS Config grabación.

Paso 1: Comience a grabar AWS Config

  1. Inicie sesión en la AWS Config consola AWS Management Console y ábrala en https://console.aws.amazon.com/config/.

  2. Seleccione Configuración en el panel de navegación.

  3. Si desea comenzar la grabación, en Recording is off (La grabación está desactivada), elija Turn on (Activar). Cuando se le pregunte, elija Continuar.

Paso 2: Requisitos previos para utilizar un paquete de conformidad con medidas correctivas

Antes de implementar paquetes de conformidad mediante plantillas de ejemplo con soluciones, debe crear los recursos adecuados, como la automatización, la asunción de funciones y otros AWS recursos, en función de su objetivo de corrección.

Si tiene un rol de automatización existente que está utilizando para la corrección con documentos SSM, puede proporcionar directamente el ARN de ese rol. Si tiene algún recurso, puede incluirlo en la plantilla.

nota

Al implementar un paquete de conformidad con medidas correctivas en una organización, es necesario especificar el ID de la cuenta de administración de la organización. De lo contrario, durante la implementación del paquete de conformidad organizativo, AWS Config reemplaza automáticamente el ID de la cuenta de administración por el ID de la cuenta del miembro.

AWS Config no admite funciones AWS CloudFormation intrínsecas para la función de ejecución de la automatización. Debe proporcionar el ARN exacto del rol en forma de cadena.

Para obtener más información acerca de cómo pasar el ARN exacto, consulte Plantillas de ejemplo de paquete de conformidad. Si utiliza plantillas de muestra, actualice el ID de cuenta y el ID de cuenta de administración de la organización.

Paso 2: Requisitos previos para usar un paquete de conformidad con una o más reglas AWS Config

Antes de implementar un paquete de conformidad con una o más AWS Config reglas personalizadas, cree los recursos adecuados, como la AWS Lambda función y el rol de ejecución correspondiente.

Si ya tiene una AWS Config regla personalizada, puede proporcionar directamente la AWS Lambda función ARN of para crear otra instancia de esa regla personalizada como parte del paquete.

Si no tiene una AWS Config regla personalizada existente, puede crear una AWS Lambda función y usar el ARN de la función Lambda. Para obtener más información, consulte AWS Config Reglas personalizadas.

Si su AWS Lambda función está presente en otra Cuenta de AWS, puede crear AWS Config reglas con la autorización de función multicuenta AWS Lambda adecuada. Para obtener más información, consulte la entrada de Cuentas de AWS blog Cómo gestionar de forma centralizada AWS Config las reglas en varias direcciones.

Same account bucket policy

AWS Config Para poder almacenar los artefactos del paquete de conformidad, tendrá que proporcionar un bucket de Amazon S3 y añadir los siguientes permisos. Para obtener más información acerca de los nombres de bucket, consulte Reglas de nomenclatura de buckets.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::delivery-bucket-name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}
Cross-account bucket policy

AWS Config Para poder almacenar los artefactos del paquete de conformidad, tendrá que proporcionar un bucket de Amazon S3 y añadir los siguientes permisos. Para obtener más información acerca de los nombres de bucket, consulte Reglas de nomenclatura de buckets.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
            "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Sid": " AWSConfigConformsBucketReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
    }
  ]
}
nota

Al implementar paquetes de conformidad entre cuentas, el nombre del bucket de Amazon S3 de entrega debe empezar por awsconfigconforms.

Paso 2: Requisitos previos para los paquetes de conformidad de la organización

Si la plantilla de entrada tiene una configuración de corrección automática, especifique el ARN del rol de ejecución de automatización de esa corrección en la plantilla. Compruebe que existe un rol con el nombre especificado en todas las cuentas (de administración y miembro) de una organización. Debe crear este rol en todas las cuentas antes de llamar a PutOrganizationConformancePack. Puede crear este rol manualmente o usar los AWS CloudFormation conjuntos de pilas para crear este rol en cada cuenta.

Si su plantilla utiliza una función AWS CloudFormation intrínseca Fn::ImportValue para importar una variable en particular, entonces esa variable debe definirse como una Export Value en todas las cuentas de los miembros de esa organización.

Para ver una AWS Config regla personalizada, consulta el blog Cómo gestionar de forma centralizada AWS Config las reglas en varios Cuentas de AWS blogs para configurar los permisos adecuados.

Política de buckets organizativos:

AWS Config Para poder almacenar los artefactos del paquete de conformidad, tendrá que proporcionar un bucket de Amazon S3 y añadir los siguientes permisos. Para obtener más información acerca de los nombres de bucket, consulte Reglas de nomenclatura de buckets.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                 "s3:GetObject",
                 "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        },
        {
            "Sid": "AllowGetBucketAcl",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        }
    ]
}
nota

Al implementar paquetes de conformidad en una organización, el nombre del bucket de Amazon S3 de entrega debe empezar por awsconfigconforms.