AWSSupport-SetupConfig - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-SetupConfig

Descripción

El manual de procedimientos AWSSupport-SetupConfigcrea un rol vinculado a un servicio AWS Identity and Access Management(de IAM), un registrador de configuración con tecnología AWS Configy un canal de entrega con un bucket de Amazon Simple Storage Service (Amazon S3) desde el que AWS Configenvía las instantáneas de la configuración y los archivos del historial de la configuración. Si especifica valores para los parámetros AggregatorAccountIdy AggregatorAccountRegion, el manual de procedimientos también crea autorizaciones para la agregación de datos a fin de recopilar datos de configuración y conformidad AWS Configde varias Cuentas de AWSy varias Regiones de AWS. Para obtener más información sobre la agregación de datos de varias cuentas y regiones, consulte la sección Agregación de datos multicuenta y multirregionales en la AWS ConfigGuía para desarrolladores .

Ejecuta esta automatización (consola)

Tipo de documento

Automation

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: String

    Descripción: (Opcional) el Nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.

  • AggregatorAccountId

    Tipo: String

    Descripción: (Opcional) El ID de la Cuenta de AWSdonde se añadirá un agregador para agregar los datos AWS Configde configuración y cumplimiento de varias cuentas y Regiones de AWS. El agregador también utiliza esta cuenta para autorizar las cuentas de origen.

  • AggregatorAccountRegion

    Tipo: String

    Descripción: (Opcional) La región en la que se añadirá un agregador para agregar los datos AWS Configde configuración y cumplimiento de varias cuentas y regiones.

  • IncludeGlobalResourcesRegion

    Tipo: String

    Predeterminado: us-east-1

    Descripción: (Obligatorio) Para evitar registrar los datos de los recursos globales en cada región, especifique una región desde la que registrar los datos de los recursos globales.

  • Partition

    Tipo: String

    Valor predeterminado: aws

    Descripción: (Obligatoria) La partición de la que desea recopilar datos AWS Configde configuración y conformidad.

  • S3BucketName

    Tipo: String

    Valor predeterminado: aws-config-delivery-channel

    Descripción: (Opcional) El nombre que desea aplicar al bucket de Amazon S3 creado para el canal de entrega. El ID de la cuenta se adjunta al final del nombre.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:DescribeConfigurationRecorders

  • config:DescribeDeliveryChannels

  • config:PutAggregationAuthorization

  • config:PutConfigurationRecorder

  • config:PutDeliveryChannel

  • config:StartConfigurationRecorder

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • s3:CreateBucket

  • s3:ListAllMyBuckets

  • s3:PutBucketPolicy

Pasos de documentos

  • aws:executeScript - Crea una función de IAM vinculada a un servicio para AWS Configsi aún no existe ninguna.

  • aws:executeScript - Crea un grabador de configuración si aún no existe ninguno.

  • aws:executeScript - Crea un bucket de Amazon S3 para que lo utilice el canal de entrega si aún no existe ninguno.

  • aws:executeScript - Crea un canal de entrega con los recursos creados por el manual de procedimientos.

  • aws:executeAwsApi - Para detener o iniciar el registro de configuración:

  • aws:executeScript - Si ha especificado valores para los parámetros AggregatorAccountIdy AggregatorAccountRegion, se configuran las autorizaciones para la agregación de datos de varias cuentas y regiones.