Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Agrégation de données multicomptes et multirégions pour AWS Config
Un agrégateur est un type de AWS Config ressource qui collecte des données AWS Config de configuration et de conformité à partir des éléments suivants :
+ Plusieurs comptes et plusieurs AWS régions.
+ Un seul compte et plusieurs AWS régions.
+ Une organisation AWS Organizations et tous les comptes de cette organisation qui ont été AWS Config activés.
Utilisez un agrégateur pour afficher la configuration des ressources et les données de conformité enregistrées dans AWS Config. L'image suivante montre comment un agrégateur collecte les AWS Config données de plusieurs comptes et régions.
![\[L'image illustre le processus d'agrégation des AWS Config données. Cela implique de collecter des données provenant de plusieurs comptes sources et AWS régions, d'agréger les informations de configuration des ressources et les données de conformité, et de présenter une vue agrégée pour faciliter la gestion.\]](http://docs.aws.amazon.com/fr_fr/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## Cas d'utilisation
+ **Surveillance de la conformité** : vous pouvez agréger les données de conformité pour évaluer le niveau de conformité global de votre organisation, ou entre les comptes et les régions.
+ **Suivi des modifications** : vous pouvez suivre les modifications apportées aux ressources au fil du temps au sein de votre organisation, ou entre les comptes et les régions.
+ **Relations entre les ressources** : vous pouvez analyser les dépendances et les relations entre les ressources au sein de votre organisation, ou entre les comptes et les régions.
**Note**
Les agrégateurs fournissent une *vue en lecture seule* des comptes source et des régions que l'agrégateur est autorisé à consulter en répliquant les données des comptes sources vers le compte agrégateur. Les agrégateurs ne fournissent pas d'accès mutant à un compte ou à une région source. Par exemple, cela signifie que vous ne pouvez pas déployer de règles via un agrégateur ou transférer des fichiers instantanés vers un compte ou une région source via un agrégateur.
L'utilisation d'agrégateurs n'entraîne aucun coût supplémentaire.
## Terminologie
Un *compte source est le compte* Compte AWS à partir duquel vous souhaitez agréger les données de configuration et de conformité des AWS Config ressources. Un compte source peut être un compte individuel ou une organisation dans AWS Organizations. Vous pouvez fournir des comptes sources individuellement ou vous pouvez les récupérer via AWS Organizations.
Une *région source* est la AWS région à partir de laquelle vous souhaitez agréger les données AWS Config de configuration et de conformité.
Un *compte agrégateur* est un compte dans lequel vous créez un agrégateur.
*L'autorisation* fait référence aux autorisations que vous accordez à un compte agrégateur et à une région pour collecter vos données AWS Config de configuration et de conformité. Aucune autorisation n'est requise si vous regroupez des comptes source qui font partie de AWS Organizations.
Un *agrégateur lié à un service* est lié à un service spécifique. Service AWS Les données de configuration et de conformité concernées sont définies par le service lié.
## Prise en charge de la région
Actuellement, l'agrégation de données multicomptes et multirégions est prise en charge dans les régions suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/config/latest/developerguide/aggregate-data.html)
# Affichage des données de conformité et d'inventaire dans le tableau de bord de l'agrégateur pour AWS Config
Le tableau de bord de la page **Agrégateurs** affiche les données de configuration de vos AWS ressources agrégées. Il fournit une vue d'ensemble de vos règles, de vos packs de conformité et de leurs états de conformité.
Le tableau de bord fournit le nombre total de AWS ressources. Les types de ressources et les comptes source sont classés en fonction du plus grand nombre de ressources. Il indique également le nombre de règles conformes et non conformes, ainsi que celui des packs de conformité. Les règles non conformes sont classées en fonction du plus grand nombre de ressources non conformes. Les packs de conformité et les comptes sources non conformes sont classés selon le plus grand nombre de règles non conformes.
Après la configuration AWS Config, il commence à agréger les données des comptes sources spécifiés dans un agrégateur. L’affichage de l'état de conformité des règles peut prendre quelques minutes.
## Utilisation du tableau de bord Agrégateur
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Accédez à la page **Agrégateurs**. Vous pouvez consulter :
+ Vos règles et leurs états de conformité.
+ Vos packs de conformité et leurs états de conformité.
+ Vos AWS ressources et leurs données de configuration.
1.
Choisissez un agrégateur dans le tableau de bord. Filtrez vos agrégateurs en fonction de leur nom. Vous pouvez afficher les widgets suivants :
+ **Inventaire des ressources**
Affichez les 10 principaux types de ressources dans l'agrégateur sélectionné, par ordre décroissant en fonction du nombre de ressources. Choisissez le nombre total de ressources pour l'agrégateur sélectionné, affiché entre parenthèses après **Inventaire des ressources**, pour accéder à la page **Ressources** agrégée, où vous pouvez afficher toutes les ressources d'un agrégateur. Vous pouvez également choisir un type de ressource dans le widget pour accéder à la page **Ressources** agrégée, filtrée en fonction du type de ressource spécifié.
+ **Comptes en fonction du nombre de ressources**
Affichez les cinq principaux comptes dans l'agrégateur sélectionné, par ordre décroissant en fonction du nombre de ressources. Choisissez un compte dans le widget pour accéder à la page **Ressources**, filtrée en fonction du compte spécifié.
+ **Règles non conformes**
Affichez les cinq principales règles non conformes de l'agrégateur sélectionné, par ordre décroissant du nombre de ressources non conformes. Choisissez une règle dans le widget pour accéder à la page des détails de la règle spécifiée. Choisissez **Afficher toutes les règles non conformes** pour accéder à la page **Règles** agrégée, où vous pouvez consulter toutes les règles d'un agrégateur.
+ **Comptes en fonction des règles non conformes**
Affichez les cinq principaux comptes dans l’agrégateur sélectionné, par ordre décroissant, en fonction du nombre de ressources non conformes. Choisissez un compte dans le widget pour accéder à la page **Règles** agrégée, où vous pouvez consulter toutes les règles d'un agrégateur filtré en fonction du compte spécifié.
+ **Comptes en fonction des packs de conformité non conformes**
Affichez les cinq principaux comptes dans l’agrégateur sélectionné, par ordre décroissant, en fonction du nombre de packs de conformité non conformes. Choisissez un compte dans le widget pour accéder à la page **Packs de conformité** agrégée, où vous pouvez consulter tous les packs de conformité d’un agrégateur filtré en fonction du compte spécifié.
1. Dans le panneau de navigation sur la gauche, choisissez l'une des options suivantes dans le menu déroulant :
+ **Tableau de bord de conformité**
Consultez des tableaux de bord de conformité automatisés à l'aide des widgets qui résument les informations relatives à la conformité des ressources au sein de votre agrégateur. Vous pouvez consulter des données, notamment les 10 principaux types de ressources en fonction des ressources non conformes, ainsi que les 10 principaux packs de conformité au niveau des comptes selon les règles non conformes. Pour en savoir plus sur ces graphiques et tableaux, consultez [Tableaux de bord de conformité](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard).
+ **Packs de conformité**
Consultez tous les packs de conformité créés et liés aux différents packs au Comptes AWS sein de votre agrégateur. La page **Pack de conformité** affiche un tableau répertoriant le nom, la région, l'ID de compte et l'état de conformité de chaque pack de conformité. Sur cette page, vous pouvez choisir un pack de conformité et sélectionner l’option **Afficher les détails** pour en savoir plus sur ses règles et ses ressources, ainsi que sur leur état de conformité.
+ **Règles**
Consultez toutes les règles qui sont créées et liées aux différents comptes AWS de votre agrégateur. La page **Règle** affiche un tableau répertoriant le nom, l’état de conformité, la région et le compte de chaque règle. Sur cette page, vous pouvez choisir une règle et l’option **Afficher les détails** pour obtenir des informations, telles que son agrégateur, sa région, son ID de compte et les ressources concernées.
+ **Tableau de bord d'inventaire**
Consultez des tableaux de bord d’inventaire automatisés à l'aide des widgets qui résument les informations relatives aux données de configuration des ressources au sein de votre agrégateur. Vous pouvez consulter des données telles que les 10 principaux types de ressources en fonction du nombre de ressources et les 10 principaux comptes en fonction du nombre de ressources. Pour en savoir plus sur ces graphiques et tableaux, consultez [Tableaux de bord d'inventaire](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard).
+ **Ressources**
Consultez toutes les ressources qui sont enregistrées et liées aux différents comptes AWS de votre agrégateur. Sur la page **Ressource**, choisissez une ressource et sélectionnez l’option **Afficher les détails** pour afficher ses détails, les règles qui lui sont associées et la configuration actuelle des ressources. Vous pouvez également consulter des informations sur la ressource, notamment son agrégateur, sa région, son ID de compte, son nom, son type de ressource et son ID de ressource.
+ **Autorisations**
Consultez et gérez tous les comptes actuellement autorisés ou en attente d'autorisation. Sur la page **Autorisations**, choisissez **Ajouter une autorisation** pour accorder un accès à un autre compte. Sélectionnez **Supprimer une autorisation** pour révoquer l'accès depuis un ID de compte.
**Note**
**Résolution des problèmes**
Le message « La **collecte de données provenant de tous les comptes et régions sources est incomplète** » peut s'afficher dans la vue agrégée pour les raisons suivantes :
Le transfert des AWS Config règles non conformes et des données de configuration des AWS ressources est en cours.
AWS Config Impossible de trouver les règles correspondant au filtre que vous avez appliqué. Sélectionnez le compte ou la région appropriés et réessayez.
Ce message peut s'afficher dans la vue agrégée : La **collecte de données auprès de votre organisation est incomplète. Vous pouvez afficher les données ci-dessous uniquement pendant 24 heures.** Ce message s’affiche pour les raisons suivantes :
AWS Config Impossible d'accéder aux informations de votre organisation en raison d'un rôle IAM non valide. Si le rôle IAM n'est pas valide pendant plus de 24 heures, AWS Config supprime les données de l'ensemble de l'organisation.
AWS Config l'accès au service est désactivé dans votre organisation.
## Tableau de bord de conformité
Consultez des tableaux de bord de conformité automatisés à l'aide des widgets qui résument les informations relatives à la conformité des ressources au sein de votre agrégateur. Ce tableau de bord affiche uniquement les règles associées à des résultats de conformité.
**Note**
**Limites**
Les informations contenues dans le tableau de bord de conformité sont fournies par la fonctionnalité de requêtes avancées de AWS Config, et cette fonctionnalité ne prend pas en charge les structures imbriquées ni le déballage de tableaux imbriqués. Cela signifie que le tableau de bord de conformité affiche la conformité globale d'une ressource et non l'état de conformité de chaque règle spécifique qui rend compte d'une ressource.
Par exemple, si vous cochez l'élément de configuration (CI) pour le type de ressource`AWS::Config::ResourceCompliance`, le tableau de bord affichera les résultats de conformité pour toutes les règles relatives à cette ressource. Si 10 règles font état de la ressource, que 9 d'entre elles sont CONFORMES et qu'une seule est NON CONFORME, la conformité globale de cette ressource sera NON CONFORME.
**Résumé de la conformité en fonction des ressources**
Affiche un graphique circulaire comparant le nombre de ressources conformes aux ressources non conformes de l'agrégateur sélectionné. Passez la souris sur le graphique pour voir le nombre et le pourcentage exacts de ressources conformes et non conformes.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Les 10 principaux types de ressources selon les ressources non conformes**
Affiche un graphique à barres horizontales comparant jusqu'à 10 types de ressources provenant de l'agrégateur sélectionné par ordre décroissant en fonction du nombre de ressources non conformes. Passez la souris sur le graphique pour voir le nombre exact de ressources non conformes pour chaque type de ressource.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Les 10 comptes les plus utilisés en termes de ressources non conformes**
*Les 10 principaux comptes selon les ressources non conformes* affichent un graphique à barres horizontales comparant jusqu'à 10 comptes de l'agrégateur sélectionné par ordre décroissant en fonction du nombre de ressources non conformes. Passez la souris sur le graphique pour voir le nombre exact de ressources non conformes pour chaque compte.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Les 10 principales régions en termes de ressources non conformes**
Affiche un graphique à barres horizontales comparant jusqu'à 10 régions dans lesquelles l'agrégateur sélectionné collecte des données par ordre décroissant en fonction du nombre de ressources non conformes. Passez la souris sur le graphique pour voir le nombre exact de ressources non conformes pour chaque région.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné.
**Les 10 meilleurs packs de conformité au niveau des comptes en fonction des règles non conformes**
Affiche un graphique à barres horizontales comparant jusqu'à 10 packs de conformité au niveau du compte provenant de l'agrégateur sélectionné, par ordre décroissant en fonction du nombre de règles non conformes. Passez la souris sur le graphique pour voir le pourcentage de règles conformes et non conformes pour chaque pack de conformité au niveau du compte.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Les 10 meilleurs packs de conformité au niveau de l'organisation en termes de règles non conformes**
Affiche un graphique à barres horizontales comparant jusqu'à 10 packs de conformité au niveau organisationnel provenant de l'agrégateur sélectionné, par ordre décroissant du nombre de règles non conformes. Passez la souris sur le graphique pour voir le pourcentage de règles conformes et non conformes dans chaque pack de conformité au niveau de l'organisation.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Les 10 meilleurs comptes en termes de règles non conformes dans l'ensemble des packs de conformité**
*Les 10 principaux comptes selon les règles non conformes dans les packs de conformité* affichent un graphique à barres horizontales comparant jusqu'à 10 comptes de l'agrégateur sélectionné par ordre décroissant selon le nombre de règles non conformes dans l'ensemble de vos packs de conformité. Passez la souris sur le graphique pour voir le nombre exact de règles non conformes dans chaque compte.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
## Tableau de bord d'inventaire
Consultez des tableaux de bord d’inventaire automatisés à l'aide des widgets qui résument les informations relatives aux données de configuration des ressources au sein de votre agrégateur.
**Les 10 principaux types de ressources en fonction du nombre de ressources**
Affiche un graphique à barres horizontales comparant jusqu'à 10 types de ressources de l'agrégateur sélectionné par ordre décroissant, en fonction du nombre de ressources. Passez le curseur sur le graphique pour consulter le nombre exact de ressources pour chaque type de ressource.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Nombre de ressources par région**
Affiche un graphique à barres horizontales comparant jusqu'à 10 types de régions pour lesquelles l'agrégateur sélectionné collecte les données par ordre décroissant, en fonction du nombre de ressources. Passez le curseur sur le graphique pour consulter le nombre exact de ressources pour chaque région.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné.
**10 principaux comptes en fonction du nombre de ressources**
Affiche un graphique à barres horizontales comparant jusqu'à 10 comptes de l'agrégateur sélectionné par ordre décroissant, en fonction du nombre de ressources. Passez le curseur sur le graphique pour consulter le nombre exact de ressources pour chaque type de ressource.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données.
**Nombre de ressources en fonction du type de ressource du service Amazon EC2**
Affiche un graphique à barres horizontales comparant les types de ressources Amazon EC2 de l'agrégateur sélectionné par ordre décroissant, en fonction du nombre de ressources. Passez le curseur sur le graphique pour consulter le nombre exact de ressources pour chaque type de ressource Amazon EC2.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données. Pour utiliser ce graphique, vous devez configurer l'enregistreur pour enregistrer les types de ressources Amazon EC2. Pour plus d'informations, consultez la section [Sélection des ressources qui AWS Config enregistrent](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Les 10 principaux types d'instances EC2 utilisés**
Affiche un graphique à barres horizontales comparant jusqu'à 10 types d’instances Amazon EC2 de l'agrégateur sélectionné par ordre décroissant, en fonction de l’utilisation. Passez le curseur sur le graphique pour consulter l'utilisation de chaque type d'instance EC2.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données. Pour utiliser ce graphique, vous devez configurer l'enregistreur pour enregistrer les types de ressources d’instance EC2. Pour plus d'informations, consultez la section [AWS Ressources de recodage](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Nombre de volumes EBS en fonction du type et de la taille du volume**
Affiche un graphique à barres verticales comparant les volumes EBS de l'agrégateur sélectionné en fonction du nombre de ressources. Passez le curseur sur le graphique pour consulter le nombre et la répartition de la taille pour chaque type de volume EBS.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données. Pour utiliser ce graphique, vous devez configurer l'enregistreur pour enregistrer les types de ressources de volume EC2. Pour plus d'informations, consultez la section [Sélection des ressources qui AWS Config enregistrent](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Nombre d'instances EC2 en cours d'exécution par rapport au nombre d'instances arrêtées par type**
Affiche un graphique à barres horizontales comparant les types d'instances EC2 de l'agrégateur sélectionné en cours d'exécution aux instances EC2 arrêtées par type d'instance. Passez le curseur sur le graphique pour consulter le nombre exact d'instances EC2 arrêtées et en cours d'exécution pour chaque type.
Les données affichées dépendent des paramètres de l'enregistreur de configuration pour chaque compte de l'agrégateur sélectionné et des régions dans lesquelles l'agrégateur sélectionné est configuré pour collecter des données. Pour utiliser ce graphique, vous devez configurer l'enregistreur pour enregistrer les types de ressources d’instance EC2. Pour plus d'informations, consultez la section [AWS Ressources de recodage](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
# Création d'agrégateurs pour AWS Config
Vous pouvez utiliser la AWS Config console ou le AWS CLI pour créer vos agrégateurs. Dans le menu, AWS Config vous pouvez choisir **Ajouter un compte individuel IDs** ou **Ajouter mon organisation** à partir de laquelle vous souhaitez agréger les données. Pour cela, AWS CLI il existe deux procédures différentes.
------
#### [ Creating Aggregators (Console) ]
Sur la page **Agrégateur**, vous pouvez créer un agrégateur en spécifiant le compte IDs ou l'organisation source et les régions à partir desquels vous souhaitez agréger les données.
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Accédez à la page **Agrégateurs** et choisissez **Créer un agrégateur**.
1. **Allow data replication (Autoriser la réplication de données)** autorise AWS Config à répliquer des données de comptes source dans un compte agrégateur.
Choisissez **Autoriser AWS Config pour répliquer les données du ou des comptes source vers un compte agrégateur. Vous devez sélectionner cette case à cocher pour continuer à ajouter un agrégateur**.
1. Pour **Aggregator name (Nom de l'agrégateur)**, saisissez le nom de votre agrégateur.
Le nom de l'agrégateur doit être un nom unique comportant au maximum 64 caractères alphanumériques. Le nom peut contenir des tirets et des traits de soulignement.
1. Pour **Sélectionner les comptes source**, choisissez **Ajouter un compte individuel IDs** ou **Ajouter mon organisation** à partir de laquelle vous souhaitez agréger les données.
**Note**
Une autorisation est requise lorsque vous utilisez l'option **Ajouter un compte individuel IDs** pour sélectionner des comptes sources.
+ Si vous choisissez **Ajouter un compte individuel IDs**, vous pouvez ajouter un compte individuel IDs pour un compte agrégateur.
1. Choisissez **Ajouter des comptes source** pour ajouter un compte IDs.
1. Choisissez **Ajouter Compte AWS IDs pour ajouter** manuellement des données séparées par des Compte AWS IDs virgules. Si vous souhaitez regrouper les données du compte actuel, saisissez l'ID de ce compte.
OU
Choisissez **Charger un fichier** pour charger un fichier (.txt ou .csv) séparé par des virgules. Compte AWS IDs
1. Choisissez **Add source accounts (Ajouter les comptes source)** pour confirmer votre sélection.
+ Si vous choisissez **Add my organization (Ajouter mon organisation)**, vous pouvez ajouter tous les comptes de votre organisation à un compte agrégateur.
**Note**
Vous devez être connecté au compte de gestion ou à un administrateur délégué enregistré et toutes les fonctionnalités doivent être activées dans votre organisation. Si l'appelant est un compte de gestion, AWS Config appelle `EnableAwsServiceAccess` l'API pour [permettre l'intégration](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) entre AWS Config et AWS Organizations. Si l'appelant est un administrateur délégué enregistré, AWS Config appelle `ListDelegatedAdministrators` l'API pour vérifier s'il est un administrateur délégué valide.
Assurez-vous que le compte de gestion enregistre l'administrateur délégué pour le nom principal du AWS Config service (config.amazonaws.com) avant que l'administrateur délégué ne crée un agrégateur. Pour enregistrer un administrateur délégué, consultez [Enregistrement d'un administrateur délégué pour AWS Config](aggregated-register-delegated-administrator.md).
Vous devez attribuer un rôle IAM pour permettre AWS Config à votre organisation d'appeler en lecture seule APIs .
1. Choisissez **Sélectionner un rôle dans votre compte** pour choisir un rôle &IAM existant.
**Note**
Dans la console IAM, attachez la stratégie gérée `AWSConfigRoleForOrganizations` à votre rôle IAM. Joindre cette politique AWS Config permet d'appeler AWS Organizations `DescribeOrganization``ListAWSServiceAccessForOrganization`, et `ListAccounts` APIs. Par défaut, `config.amazonaws.com` est automatiquement spécifié en tant qu'entité de confiance.
1. Choisissez **Créer un rôle** et saisissez un nom de rôle IAM pour créer le rôle IAM.
1. Pour **Regions (Régions)**, choisissez les régions pour lesquelles vous souhaitez regrouper les données.
+ Sélectionnez une ou plusieurs régions ou toutes les Régions AWS.
+ Sélectionnez **Inclure le futur Régions AWS** pour agréger les données de tous les futurs Régions AWS où l'agrégation de données multi-comptes et multirégions est activée.
1. Choisissez **Enregistrer**. AWS Config affiche l'agrégateur.
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. Ouvrez une invite de commande ou une fenêtre de terminal.
1. Saisissez la commande suivante pour créer un agrégateur nommé **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
Pour `account-aggregation-sources`, indiquez l’un des éléments suivants.
+ Liste séparée par des virgules des données Compte AWS IDs pour lesquelles vous souhaitez agréger les données. Placez le compte IDs entre crochets et veillez à ne pas utiliser de guillemets (par exemple,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
+ Vous pouvez également télécharger un fichier JSON séparé par des Compte AWS IDs virgules. Pour charger le fichier, utilisez la syntaxe suivante : `--account-aggregation-sources MyFilePath/MyFile.json`
Le format du fichier JSON doit être le suivant :
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. Appuyez sur Entrée pour exécuter la commande.
Vous devez voir des résultats similaires à ce qui suit :
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
Avant de commencer cette procédure, vous devez être connecté au compte de gestion ou à un administrateur délégué enregistré et toutes les fonctionnalités doivent être activées dans votre organisation.
**Note**
Assurez-vous que le compte de gestion enregistre un administrateur délégué portant les deux noms principaux de AWS Config service suivants (`config.amazonaws.com`et`config-multiaccountsetup.amazonaws.com`) avant que l'administrateur délégué ne crée un agrégateur. Pour enregistrer un administrateur délégué, consultez [Enregistrement d'un administrateur délégué pour AWS Config](aggregated-register-delegated-administrator.md).
1. Ouvrez une invite de commande ou une fenêtre de terminal.
1. Si vous n'avez pas créé de rôle IAM pour votre AWS Config agrégateur, entrez la commande suivante :
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**Note**
Copiez le nom de ressource Amazon (ARN) à partir de ce rôle IAM pour l'utiliser lors de la création de votre AWS Config agrégateur. Vous pouvez trouver l’ARN sur l’objet de réponse.
1. Si aucune stratégie n'est associée à votre rôle IAM, associez la stratégie [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html)gérée ou entrez la commande suivante :
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. Saisissez la commande suivante pour créer un agrégateur nommé **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. Appuyez sur Entrée pour exécuter la commande.
Vous devez voir des résultats similaires à ce qui suit :
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Enregistrement d'un administrateur délégué pour AWS Config
Les administrateurs délégués sont des comptes au sein d'une AWS organisation donnée auxquels des privilèges administratifs supplémentaires sont accordés pour un AWS service spécifique. Pour plus d'informations, consultez la section [Administrateur délégué](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) dans le *guide de AWS Organizations l'utilisateur*. Vous devez utiliser le AWS CLI pour enregistrer un administrateur délégué.
**Enregistrement d'un administrateur délégué**
1. Connectez-vous à l'aide des informations d'identification du compte de gestion.
1. Ouvrez une invite de commande ou une fenêtre de terminal.
1. Entrez la commande suivante pour activer l'accès au service en tant qu'administrateur délégué afin de déployer et de gérer les AWS Config règles et les packs de conformité au sein de votre organisation :
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. Entrez la commande suivante pour activer l'accès au service en tant qu'administrateur délégué de votre organisation afin d'agréger AWS Config les données au sein de votre organisation :
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. Pour vérifier si l’accès au service est bien activé, saisissez la commande suivante et appuyez sur Entrée pour l’exécuter.
```
aws organizations list-aws-service-access-for-organization
```
Vous devez voir des résultats similaires à ce qui suit :
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. Saisissez ensuite la commande suivante pour enregistrer un compte membre en tant qu’administrateur délégué pour AWS Config.
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
and
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. Pour vérifier si l’administrateur délégué est bien enregistré, saisissez la commande suivante à partir du compte de gestion et appuyez sur Entrée pour l’exécuter.
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
and
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
Vous devez voir des résultats similaires à ce qui suit :
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# Modifier des agrégateurs pour AWS Config
Vous pouvez utiliser la AWS Config console ou le AWS CLI pour modifier vos agrégateurs.
------
#### [ Editing Aggregators (Console) ]
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Accédez à la page **Agrégateur** et choisissez le nom de l'agrégateur.
1. Choisissez **Actions**, puis **Modifier**.
1. Utilisez les sections de la page **Modifier un agrégateur** pour modifier les comptes source, les rôles IAM ou les régions de l'agrégateur.
**Note**
Vous ne pouvez pas modifier le type de source du ou des comptes individuels de l'organisation et inversement.
1. Choisissez **Enregistrer**.
------
#### [ Editing Aggregators (AWS CLI) ]
1. Vous pouvez utiliser la commande `put-configuration-aggregator` pour mettre à jour ou modifier un agrégateur de configuration.
Saisissez la commande suivante pour ajouter un nouvel ID de compte à **MyAggregator** :
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. En fonction de votre compte source, vous devez voir une sortie similaire à ce qui suit :
**Pour les comptes individuels**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
OU
**Pour une organisation**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Suppression d'agrégateurs pour AWS Config
Vous pouvez utiliser la AWS Config console ou le AWS CLI pour supprimer vos agrégateurs.
------
#### [ Deleting Aggregators (Console) ]
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Accédez à la page **Agrégateur** et choisissez le nom de l'agrégateur.
1. Choisissez **Actions**, puis **Delete (Supprimer)**.
Un message d'avertissement s'affiche. La suppression d'un agrégateur entraîne la perte de toutes les données agrégées. Vous ne pouvez pas récupérer ces données, mais les données du ou des comptes source ne sont pas affectées.
1. Choisissez **Supprimer** pour confirmer votre sélection.
------
#### [ Deleting Aggregators (AWS CLI) ]
Entrez la commande suivante :
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
En cas de réussite, la commande s'exécute sans sortie supplémentaire.
------
# Autoriser les comptes agrégateurs à collecter des données de AWS Config configuration et de conformité
*L'autorisation* fait référence aux autorisations que vous accordez à un compte agrégateur et à une région pour collecter vos données AWS Config de configuration et de conformité. Aucune autorisation n'est requise si vous regroupez des comptes source qui font partie de AWS Organizations. Vous pouvez utiliser la AWS Config console ou le AWS CLI pour autoriser les comptes agrégateurs.
**Topics**
+ [
## Considérations
](#aggregated-add-authorization-considerations)
+ [
## Ajouter une autorisation
](#aggregated-add-authorization-procedure)
## Considérations
**Il existe deux types d'agrégateurs : l'agrégateur de comptes individuels et l'agrégateur Organization**
Un agrégateur de comptes individuel nécessite une autorisation pour tous les comptes et régions sources que vous souhaitez inclure, y compris les comptes et les régions externes, ainsi que les régions et les comptes membres de l'organisation.
Pour un agrégateur d'organisations, aucune autorisation n'est requise pour les régions des comptes membres de l'organisation, car l'autorisation est intégrée au AWS Organizations service.
**Les agrégateurs ne s'activent pas automatiquement AWS Config en votre nom**
AWS Config doit être activé dans le compte source et dans la région pour l'un ou l'autre type d'agrégateur, afin que les AWS Config données soient générées dans le compte source et dans la région.
## Ajouter une autorisation
------
#### [ Adding Authorization (Console) ]
Vous pouvez ajouter une autorisation pour autoriser les comptes agrégateurs et les régions à collecter des données de AWS Config configuration et de conformité.
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Accédez à la page **Autorisations** et choisissez **Ajouter une autorisation**.
1. En regard de **Compte Aggregator**, entrez l'ID de compte à 12 chiffres d'un compte Aggregator.
1. En regard de **Région Aggregator**, choisissez les Régions AWS dans lesquelles le compte Aggregator est autorisé à collecter des données AWS de configuration et de conformité.
1. Choisissez **Ajouter une autorisation** pour confirmer votre sélection.
AWS Config affiche un compte agrégateur, une région et un statut d'autorisation.
**Note**
Vous pouvez également ajouter des autorisations aux comptes agrégateurs et aux régions par programmation à l'aide CloudFormation d'exemples de modèles. Pour plus d’informations, consultez [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html) dans le *Guide de l’utilisateur CloudFormation *.
------
#### [ Authorizing a Pending Request (Console) ]
Si vous avez une demande d'autorisation en attente d'un compte Aggregator existant, vous verrez l'état de la demande sur la page **Autorisations**. Vous pouvez autoriser une demande en attente à partir de cette page.
1. Choisissez le compte Aggregator que vous souhaitez autoriser, puis choisissez **Autoriser**.
Un message de confirmation s'affiche pour confirmer que vous souhaitez autoriser le compte agrégateur à collecter des AWS Config données à partir de ce compte.
1. Choisissez à nouveau **Autoriser** pour confirmer que vous souhaitez accorder l'autorisation au compte Aggregator.
L'état de l'autorisation passe de **Demande d'autorisation** à **Autorisé**.
**Période d'approbation de l'autorisation**
L'approbation d'une autorisation est requise pour ajouter des comptes sources à un agrégateur de comptes individuel. Une demande d'approbation d'autorisation en attente sera disponible pendant 7 jours après l’ajout d’un compte source par un agrégateur de comptes individuel.
------
#### [ Adding Authorization (AWS CLI) ]
1. Ouvrez une invite de commande ou une fenêtre de terminal.
1. Entrez la commande suivante :
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. Vous devez voir des résultats similaires à ce qui suit :
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# Suppression de l'autorisation pour les comptes agrégateurs de collecter des données AWS Config de configuration et de conformité
*L'autorisation* fait référence aux autorisations que vous accordez à un compte agrégateur et à une région pour collecter vos données AWS Config de configuration et de conformité. Aucune autorisation n'est requise si vous regroupez des comptes source qui font partie de AWS Organizations. Vous pouvez utiliser la AWS Config console ou le AWS CLI pour supprimer des autorisations.
**Topics**
+ [
## Considérations
](#aggregated-delete-authorization-considerations)
+ [
## Supprimer l'autorisation
](#aaggregated-delete-authorization-procedure)
## Considérations
**Il existe deux types d'agrégateurs : l'agrégateur de comptes individuels et l'agrégateur Organization**
Un agrégateur de comptes individuel nécessite une autorisation pour tous les comptes et régions sources que vous souhaitez inclure, y compris les comptes et les régions externes, ainsi que les régions et les comptes membres de l'organisation.
Pour un agrégateur d'organisations, aucune autorisation n'est requise pour les régions des comptes membres de l'organisation, car l'autorisation est intégrée au AWS Organizations service.
**Les agrégateurs ne s'activent pas automatiquement AWS Config en votre nom**
AWS Config doit être activé dans le compte source et dans la région pour l'un ou l'autre type d'agrégateur, afin que les AWS Config données soient générées dans le compte source et dans la région.
## Supprimer l'autorisation
------
#### [ Deleting Authorization (Console) ]
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Choisissez le compte Aggregator dont vous souhaitez supprimer l’autorisation, puis choisissez **Supprimer**.
Un message d'avertissement s'affiche. Lorsque vous supprimez cette autorisation, AWS Config les données ne seront plus partagées avec le compte agrégateur.
1. Choisissez **Supprimer** pour confirmer votre sélection.
Le compte Aggregator est supprimé.
------
#### [ Deleting Authorization (AWS CLI) ]
Entrez la commande suivante :
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
En cas de réussite, la commande s'exécute sans sortie supplémentaire.
------
# Affichage des agrégateurs pour AWS Config
Vous pouvez utiliser la AWS Config console ou le AWS CLI pour afficher vos agrégateurs.
------
#### [ Viewing Aggregators (Console) ]
Pour consulter vos packs de conformité dans le AWS Management Console, consultez le tableau de bord d'[Aggregator.](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)
------
#### [ Viewing Aggregators (AWS CLI) ]
1. Entrez la commande suivante :
```
aws configservice describe-configuration-aggregators
```
1. En fonction de votre compte source, vous devez voir une sortie similaire à ce qui suit :
**Pour les comptes individuels**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
OU
**Pour une organisation**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Résolution des problèmes liés à l'agrégation de données multicomptes et multirégions pour AWS Config
AWS Config peut ne pas agréger les données des comptes sources pour l'une des raisons suivantes :
****
| Si cela se produit | Faites ceci |
| --- | --- |
| AWS Config n'est pas activé dans le compte source pour les comptes d'une organisation. | Activez AWS Config dans le compte source et autorisez le compte agrégateur à collecter des données. |
| L'autorisation n'est pas accordée à un compte Aggregator. | Connectez-vous au compte source et autorisez le compte agrégateur à collecter des AWS Config données. |
| Il s'est peut-être produit un problème temporaire qui empêche le regroupement des données. | le regroupement de données est sujet à des retards. Patientez quelques minutes. |
AWS Config peut ne pas agréger les données d'une organisation pour l'une des raisons suivantes :
****
| Si cela se produit | Faites ceci |
| --- | --- |
| AWS Config ne peut pas accéder aux informations de votre organisation en raison d'un rôle IAM non valide. | Créez un rôle IAM ou sélectionnez un rôle IAM valide dans la liste des rôles IAM. Si le rôle IAM n'est pas valide pendant plus de 7 jours, les données sont AWS Config supprimées pour l'ensemble de l'organisation. |
| AWS Config l'accès au service est désactivé dans votre organisation. | Vous pouvez activer l'intégration entre AWS Config et AWS Organizations via l'EnableAWSServiceAccessAPI. Si vous choisissez Ajouter mon organisation dans la console, l'intégration entre AWS Config et est AWS Config automatiquement activée AWS Organizations. |
| AWS Config ne peut pas accéder aux informations de votre organisation car toutes les fonctionnalités ne sont pas activées dans votre organisation. | [Activez toutes les fonctionnalités](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) de AWS Organizations la console. |
| Les changements organisationnels tels que l'ajout d'un compte, la suppression d'un compte, ainsi que l'activation et la désactivation de l'accès aux services ne sont pas immédiatement mis à jour dans les régions du Moyen-Orient (Bahreïn) et de l'Asie-Pacifique (Hong Kong). | L’application des changements organisationnels nécessite un délai de 2 heures. Patientez 2 heures pour observer l’application de tous les changements au sein de l'organisation. |