Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Aggregazione di dati multiaccount e più regioni per AWS Config
Un aggregatore è un tipo di AWS Config risorsa che raccoglie i dati di AWS Config configurazione e conformità dai seguenti elementi:
+ Più account e più AWS regioni.
+ Account singolo e più AWS regioni.
+ Un'organizzazione AWS Organizations e tutti gli account di quell'organizzazione che sono stati AWS Config abilitati.
Utilizza un aggregatore di risorse per visualizzare i dati di configurazione della risorsa e di conformità registrati in AWS Config. L'immagine seguente mostra come un aggregatore raccoglie AWS Config i dati da più account e regioni.
![\[L'immagine mostra il processo di aggregazione dei AWS Config dati. Implica la raccolta di dati da più account di origine e AWS regioni, l'aggregazione delle informazioni sulla configurazione delle risorse e dei dati sulla conformità e la presentazione di una visualizzazione aggregata per facilitare la gestione.\]](http://docs.aws.amazon.com/it_it/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## Casi d'uso
+ **Monitoraggio della conformità**: puoi aggregare i dati sulla conformità per valutare i livelli di conformità complessivi della tua organizzazione o di più account e regioni.
+ **Monitoraggio delle modifiche**: puoi tenere traccia delle modifiche alle risorse nel tempo all'interno dell'organizzazione o tra account e regioni.
+ **Relazioni tra le risorse**: puoi analizzare le dipendenze e le relazioni tra le risorse all'interno dell'organizzazione o tra account e regioni.
**Nota**
Gli aggregatori forniscono una *visualizzazione in sola lettura* degli account e delle regioni di origine che l'aggregatore è autorizzato a visualizzare replicando i dati dagli account di origine nell'account di aggregazione. Gli aggregatori non forniscono un accesso mutante a un account o a una regione di origine. Ad esempio, ciò significa che non è possibile distribuire regole tramite un aggregatore o inviare file di istantanee a un account o a una regione di origine tramite un aggregatore.
L'utilizzo degli aggregatori non comporta costi aggiuntivi.
## Terminologia
Un *account di origine è l'account* Account AWS da cui si desidera aggregare i dati di configurazione e conformità AWS Config delle risorse. Un account di origine può essere un account singolo o un'organizzazione in AWS Organizations. Puoi fornire gli account di origine singolarmente o recuperarli tramite. AWS Organizations
Una *regione di origine* è la AWS regione da cui si desidera aggregare i dati di AWS Config configurazione e conformità.
Un account *aggregatore è un account* in cui si crea un aggregatore.
L'*autorizzazione* si riferisce alle autorizzazioni concesse a un account e a una regione di aggregazione per raccogliere i dati di AWS Config configurazione e conformità. L'autorizzazione non è obbligatoria se stai aggregando account di origine che fanno parte di AWS Organizations.
Un *aggregatore collegato a un servizio è collegato* a uno specifico. Servizio AWS I dati di configurazione e conformità inclusi nell'ambito sono impostati dal servizio collegato.
## Supporto nelle regioni
Attualmente, l'aggregazione di dati multiregione con più account è supportata nelle seguenti regioni:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/config/latest/developerguide/aggregate-data.html)
# Visualizzazione dei dati di conformità e inventario nella dashboard di Aggregator per AWS Config
La dashboard nella pagina **Aggregatori** mostra i dati di configurazione delle risorse AWS aggregate. Fornisce una panoramica delle regole, dei pacchetti di conformità e dei relativi stati di conformità.
La dashboard fornisce il numero totale di AWS risorse. I tipi e gli account di risorse vengono classificati in base al numero più elevato di risorse. Riporta inoltre il conteggio delle regole e dei pacchetti di conformità conformi e non conformi. Le regole non conformi sono classificate in base al numero più elevato di risorse non conformi. I pacchetti di conformità e gli account di origine non conformi sono classificati in base al numero più elevato di regole non conformi.
Dopo la configurazione AWS Config, inizia ad aggregare i dati dagli account di origine specificati in un aggregatore. Per visualizzare lo stato di conformità delle regole potrebbero essere necessari alcuni istanti.
## Utilizzo del pannello di controllo dell'aggregatore
1. [Accedi a Console di gestione AWS e apri la AWS Config console a casahttps://console.aws.amazon.com/config/.](https://console.aws.amazon.com/config/home)
1. Vai alla pagina **Aggregatori**. Puoi visualizzare:
+ Le regole e i relativi stati di conformità.
+ I pacchetti di conformità e i relativi stati di conformità.
+ AWS Le tue risorse e i relativi dati di configurazione.
1.
Scegli un aggregatore dal pannello di controllo. Filtra gli aggregatori in base al nome. Puoi visualizzare i widget seguenti:
+ **Inventario risorse**
Visualizza i primi dieci tipi di risorse dall'aggregatore selezionato, in ordine decrescente, in base al numero di risorse. Scegli il numero totale di risorse per l'aggregatore selezionato, visualizzato tra parentesi dopo **Inventario risorse**, per accedere alla pagina **Risorse** aggregata, dove puoi visualizzare tutte le risorse di un aggregatore. In alternativa, scegli un tipo di risorsa nel widget per andare alla pagina **Risorse** aggregata, filtrata in base al tipo di risorsa specificato.
+ **Account in base al numero di risorse**
Visualizza i primi cinque account dall'aggregatore selezionato, in ordine decrescente, in base al numero di risorse. Scegli un account nel widget per andare alla pagina **Risorse**, filtrata in base all'account specificato.
+ **Regole non conformi**
Visualizza le prime cinque regole non conformi dell'Aggregator selezionato, in ordine decrescente in base al numero di risorse non conformi. Scegli una regola nel widget per andare alla pagina dei dettagli corrispondente. Scegli **Visualizza tutte le regole non conformi** per andare alla pagina **Regole** aggregata, dove puoi visualizzare tutte le regole di un aggregatore.
+ **Account in base alle regole non conformi**
Visualizza i primi cinque account dall'aggregatore selezionato, in ordine decrescente, in base al numero di regole non conformi. Scegli un account nel widget per andare alla pagina **Regole** aggregata, dove puoi visualizzare tutte le regole di un aggregatore filtrate in base all'account specificato.
+ **Account per pacchetti di conformità non conformi**
Visualizza i primi cinque account dall'aggregatore selezionato, in ordine decrescente, in base al numero di pacchetti di conformità non conformi. Scegli un account nel widget per andare alla pagina **Pacchetto di conformità** aggregata, dove puoi visualizzare tutti i pacchetti di conformità di un aggregatore filtrati in base all'account specificato.
1. Nel riquadro di navigazione a sinistra, scegli una delle seguenti opzioni dal menu a discesa:
+ **Pannello di controllo della conformità**
Visualizza i pannelli di controllo della conformità automatizzati utilizzando i widget di riepilogo delle informazioni sulla conformità delle risorse all'interno dell'aggregatore. Puoi visualizzare dati come i primi dieci tipi di risorse in base alle risorse non conformi e i primi dieci pacchetti di conformità a livello di account in base alle regole non conformi. Per informazioni su questi grafici e diagrammi, consulta [Pannelli di controllo della conformità](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard).
+ **Pacchetti di conformità**
Visualizza tutti i pacchetti di conformità creati e collegati ai diversi all'interno del tuo aggregatore. Account AWS Nella pagina **Pacchetto di conformità** viene visualizzata una tabella con il nome, la regione, l'ID dell'account e lo stato di conformità di ciascun pacchetto di conformità. Da questa pagina puoi scegliere un pacchetto di conformità e selezionare l'opzione **Visualizza dettagli** per ottenere ulteriori informazioni sulle relative regole e risorse e sullo stato di conformità.
+ **Regole**
Visualizza tutte le regole create e collegate ai diversi account AWS all'interno dell'aggregatore. Nella pagina **Regole** viene visualizzata una tabella con il nome, lo stato di conformità, la regione e l'account di ciascuna regola. Da questa pagina puoi scegliere una regola e selezionare l'opzione **Visualizza dettagli** per ottenere informazioni come l'aggregatore, la regione, l'ID dell'account e le risorse nell'ambito.
+ **Pannello di controllo dell'inventario**
Visualizza i pannelli di controllo dell'inventario automatizzati utilizzando i widget di riepilogo delle informazioni sui dati di configurazione delle risorse all'interno dell'aggregatore. Puoi visualizzare dati come i primi dieci tipi di risorse in base al numero di risorse e i primi dieci account in base al numero di risorse. Per informazioni su questi grafici e diagrammi, consulta [Pannelli di controllo dell'inventario](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard).
+ **Risorse**
Visualizza tutte le risorse registrate e collegate ai diversi account AWS all'interno dell'aggregatore. Dalla pagina **Risorsa**, scegli una risorsa e seleziona **Visualizza dettagli** per visualizzarne i dettagli, le regole ad essa associate e la configurazione corrente. Puoi anche visualizzare informazioni sulla risorsa, come l'aggregatore, la regione, l'ID account e il nome, il tipo e l'ID della risorsa.
+ **Autorizzazioni**
Visualizza e gestisci tutti gli account attualmente autorizzati o in attesa di autorizzazione. Dalla pagina **Autorizzazioni**, scegli **Aggiungi autorizzazione** per fornire l'accesso a un altro account. Scegli **Elimina autorizzazione** per revocare l'accesso da un ID dell'account.
**Nota**
**Risoluzione dei problemi**
È possibile che nella visualizzazione aggregata venga visualizzato il messaggio La **raccolta dati da tutti gli account e le regioni di origine è incompleta** per i seguenti motivi:
Il trasferimento delle AWS Config regole non conformi e dei dati di configurazione delle AWS risorse è in corso.
AWS Config non riesco a trovare regole che corrispondano al filtro che hai applicato. Seleziona la regione o l'account appropriati e riprova.
Potresti vedere questo messaggio visualizzato nella vista aggregata: La **raccolta dei dati dalla tua organizzazione è incompleta. Puoi visualizzare i dati riportati di seguito solo per 24 ore.** Questo messaggio viene visualizzato per le ragioni seguenti:
AWS Config non puoi accedere ai dettagli della tua organizzazione a causa di un ruolo IAM non valido. Se il ruolo IAM rimane non valido per più di 24 ore, AWS Config elimina i dati relativi all'intera organizzazione.
AWS Config l'accesso al servizio è disabilitato nell'organizzazione.
## Pannello di controllo della conformità
Visualizza i pannelli di controllo della conformità automatizzati utilizzando widget di riepilogo delle informazioni sulla conformità delle risorse all'interno dell'aggregatore. Questo pannello di controllo mostra solo le regole con risultati di conformità.
**Nota**
**Limitazioni**
Le informazioni contenute nel dashboard di conformità sono fornite dalla funzionalità Advanced Queries di AWS Config, che non supporta strutture annidate o la decompressione di array nidificati. Ciò significa che il dashboard di conformità mostra la conformità complessiva di una risorsa e non lo stato di conformità per ogni regola specifica che riporta su una risorsa.
Ad esempio, se si verifica l'elemento di configurazione (CI) per il tipo di risorsa`AWS::Config::ResourceCompliance`, il dashboard mostrerà i risultati di conformità per tutte le regole che generano report su quella risorsa. Se ci sono 10 regole che generano report sulla risorsa, 9 di esse sono CONFORMI e solo 1 è NON\$1COMPLIANT, la conformità complessiva di quella risorsa sarà NON\$1COMPLIANT.
**Riepilogo della conformità per risorse**
Visualizza un grafico a torta che confronta il numero di risorse conformi con quelle non conformi dell'aggregatore selezionato. Passa il mouse sul grafico per visualizzare il numero e la percentuale esatti di risorse conformi e non conformi.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**I 10 principali tipi di risorse per risorse non conformi**
Visualizza un grafico a barre orizzontale che confronta fino a 10 tipi di risorse dell'aggregatore selezionato in ordine decrescente in base al numero di risorse non conformi. Passa il mouse sul grafico per visualizzare il numero esatto di risorse non conformi per ogni tipo di risorsa.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**I 10 account principali per risorse non conformi**
*I primi 10 account per risorse non conformi* visualizza un grafico a barre orizzontali che confronta fino a 10 account dell'aggregatore selezionato in ordine decrescente in base al numero di risorse non conformi. Passa il mouse sul grafico per visualizzare il numero esatto di risorse non conformi per ogni account.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**Le 10 principali regioni per risorse non conformi**
Visualizza un grafico a barre orizzontale che confronta fino a 10 regioni in cui l'aggregatore selezionato raccoglie i dati in ordine decrescente in base al numero di risorse non conformi. Passa il mouse sul grafico per visualizzare il numero esatto di risorse non conformi per ogni regione.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato.
**I 10 migliori pacchetti di conformità a livello di account in base alle regole non conformi**
Visualizza un grafico a barre orizzontale che confronta fino a 10 pacchetti di conformità a livello di account dell'aggregatore selezionato in ordine decrescente in base al numero di regole non conformi. Passa il mouse sul grafico per visualizzare la percentuale di regole conformi e non conformi per ogni pacchetto di conformità a livello di account.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**I 10 migliori pacchetti di conformità a livello di organizzazione in base alle regole non conformi**
Visualizza un grafico a barre orizzontale che confronta fino a 10 pacchetti di conformità a livello organizzativo dell'aggregatore selezionato in ordine decrescente in base al numero di regole non conformi. Passa il mouse sul grafico per visualizzare la percentuale di regole conformi e non conformi in ogni pacchetto di conformità a livello organizzativo.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**I 10 migliori account in base alle regole non conformi tra i diversi pacchetti di conformità**
*I primi 10 account per regole non conformi tra i diversi pacchetti di conformità* visualizzano un grafico a barre orizzontali che confronta fino a 10 account dell'aggregatore selezionato in ordine decrescente in base al numero di regole non conformi in tutti i pacchetti di conformità. Passa il mouse sul grafico per visualizzare il numero esatto di regole non conformi in ogni account.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
## Pannello di controllo dell'inventario
Visualizza i pannelli di controllo dell'inventario automatizzati utilizzando i widget di riepilogo delle informazioni sui dati di configurazione delle risorse all'interno dell'aggregatore.
**I primi dieci tipi di risorse per numero di risorse**
Visualizza un grafico a barre orizzontali in cui vengono confrontati fino a dieci tipi di risorse dell'aggregatore selezionato, in ordine decrescente, in base al numero di risorse. Passa il mouse sul grafico per visualizzare il numero esatto di risorse per ogni tipo di risorsa.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**Numero di risorse per regione**
Visualizza un grafico a barre orizzontali in cui vengono confrontate fino a dieci regioni in cui l'aggregatore selezionato raccoglie i dati, in ordine decrescente, in base al numero di risorse. Passa il mouse sul grafico per visualizzare il numero esatto di risorse per ogni regione.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato.
**I primi dieci account in base al numero di risorse**
Visualizza un grafico a barre orizzontali in cui vengono confrontati fino a dieci account dell'aggregatore selezionato, in ordine decrescente, in base al numero di risorse. Passa il mouse sul grafico per visualizzare il numero esatto di risorse per ogni tipo di risorse.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati.
**Numero di risorse per tipi di risorse del servizio Amazon EC2**
Visualizza un grafico a barre orizzontali in cui vengono confrontati i tipi di risorse Amazon EC2 dell'aggregatore selezionato, in ordine decrescente, in base al numero di risorse. Passa il mouse sul grafico per visualizzare il numero esatto di risorse per ogni tipo di risorse Amazon EC2.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati. Per utilizzare questo grafico, occorre configurare il registratore sulla registrazione dei tipi di risorse Amazon EC2. Per ulteriori informazioni, consulta [Selezione](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) dei record di risorse. AWS Config
**I primi dieci tipi di istanze EC2 utilizzati**
Visualizza un grafico a barre orizzontali in cui vengono confrontati fino a dieci tipi di istanze Amazon EC2 dell'aggregatore selezionato, in ordine decrescente, in base all'uso. Passa il mouse sul grafico per vedere l'utilizzo per ogni tipo di istanza EC2.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati. Per utilizzare questo grafico, occorre configurare il registratore sulla registrazione del tipo di risorse dell'istanza EC2. Per ulteriori informazioni, vedere [Recoding Resources. AWS](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)
**Conteggi dei volumi EBS per tipo e dimensione del volume**
Visualizza un grafico a barre verticali in cui vengono confrontati i volumi EBS dell'aggregatore selezionato in base al numero di risorse. Passa il mouse sul grafico per visualizzare nel dettaglio il numero e le dimensioni di ogni tipo di volume EBS.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati. Per utilizzare questo grafico, occorre configurare il registratore sulla registrazione del tipo di risorsa del volume EC2. Per ulteriori informazioni, vedere [Selezione dei record di risorse AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Numero di istanze EC2 in esecuzione rispetto a quelle interrotte per tipo**
Visualizza un grafico a barre orizzontali in cui vengono confrontati i tipi di istanze EC2 dell'aggregatore selezionato in esecuzione con le istanze EC2 interrotte per tipo di istanza. Passa il mouse sul grafico per vedere il numero esatto di istanze EC2 interrotte e in esecuzione per ogni tipo.
I dati visualizzati dipendono dalle impostazioni del registratore di configurazione per ogni account nell'aggregatore selezionato e dalle regioni in cui l'aggregatore selezionato è configurato per la raccolta dei dati. Per utilizzare questo grafico, occorre configurare il registratore sulla registrazione del tipo di risorse dell'istanza EC2. Per ulteriori informazioni, vedere [Recoding Resources. AWS](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)
# Creazione di aggregatori per AWS Config
Puoi usare la AWS Config console o il AWS CLI per creare i tuoi aggregatori. Da qui AWS Config puoi scegliere **Aggiungi un account individuale IDs** o **Aggiungi la mia organizzazione** da cui desideri aggregare i dati. Per il momento AWS CLI ci sono due diverse procedure.
------
#### [ Creating Aggregators (Console) ]
Nella pagina **Aggregator**, puoi creare un aggregatore specificando l'account IDs o l'organizzazione di origine e le regioni da cui desideri aggregare i dati.
1. [Accedi a Console di gestione AWS e apri la console da casa. AWS Config https://console.aws.amazon.com/config/](https://console.aws.amazon.com/config/home)
1. Accedi alla pagina **Aggregatori** e scegli **Crea aggregatore**.
1. **Allow data replication (Consenti la replica dei dati)**, accorda a AWS Config l'autorizzazione a replicare i dati dagli account sorgente verso l'account dell'aggregatore.
Scegli **Consenti AWS Config per replicare i dati dagli account di origine in un account aggregatore. Devi selezionare questa casella di controllo per proseguire con l'aggiunta dell'aggregatore**.
1. Alla voce **Aggregator name (Nome aggregatore)** digitare un nome per l'aggregatore.
Il nome dell'aggregatore deve essere un nome univoco con una lunghezza massima di 64 caratteri alfanumerici. Il nome può contenere trattini e caratteri di sottolineatura.
1. Per **Seleziona account di origine**, scegli **Aggiungi account individuale IDs** o **Aggiungi la mia organizzazione** da cui desideri aggregare i dati.
**Nota**
L'autorizzazione è richiesta quando si utilizza **Aggiungi account individuale IDs** per selezionare gli account di origine.
+ Se scegli **Aggiungi un account individuale IDs**, puoi aggiungere un account individuale IDs per un account aggregatore.
1. Scegli **Aggiungi account di origine** per aggiungere un account IDs.
1. Scegli **Aggiungi Account AWS IDs per aggiungere** manualmente i caratteri separati da Account AWS IDs virgole. Se desideri aggregare i dati dall'account corrente, digita l'ID account dell'account stesso.
O
Scegli **Carica un file per caricare un file** (.txt o.csv) separato da virgole. Account AWS IDs
1. Scegliere **Add source accounts (Aggiungi account di origine)** per confermare la selezione.
+ Scegliendo **Add my organization (Aggiungi la mia organizzazione)**, è possibile aggiungere, a un account di aggregazione, tutti gli account della propria organizzazione.
**Nota**
Devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità. [Se il chiamante è un account di gestione, chiama l'API per abilitare l'integrazione tra e AWS Config . `EnableAwsServiceAccess`](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) AWS Config AWS Organizations Se il chiamante è un amministratore delegato registrato, AWS Config chiama l'`ListDelegatedAdministrators`API per verificare se il chiamante è un amministratore delegato valido.
Assicurati che l'account di gestione registri l'amministratore delegato per il nome principale del AWS Config servizio (config.amazonaws.com) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta [Registrazione di un amministratore delegato per AWS Config](aggregated-register-delegated-administrator.md).
Devi assegnare un ruolo IAM per consentire le chiamate in sola lettura per la tua organizzazione. AWS Config APIs
1. Scegli **Scegli un ruolo dal tuo account** per selezionare un ruolo IAM esistente.
**Nota**
Nella console IAM, associa la policy `AWSConfigRoleForOrganizations` gestita al ruolo IAM. Allegare questa policy consente di AWS Config chiamare AWS Organizations `DescribeOrganization`, e. `ListAWSServiceAccessForOrganization` `ListAccounts` APIs Per impostazione predefinita, `config.amazonaws.com` viene specificato automaticamente come entità attendibile.
1. Oppure, per creare un ruolo IAM, scegli **Crea un ruolo** e digita un nome per il tuo ruolo IAM.
1. Alla voce **Regions (Regioni)**, scegliere le regioni per cui si desiderano aggregare i dati.
+ Seleziona una o più regioni o tutte le Regioni AWS.
+ Seleziona **Includi futuro Regioni AWS** per aggregare i dati di tutti i futuri Regioni AWS in cui è abilitata l'aggregazione di dati multi-account e più regioni.
1. **Scegli** Salva. AWS Config visualizza l'aggregatore.
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. Apri un prompt dei comandi o una finestra del terminale.
1. Digitare il comando seguente per creare un aggregatore denominato **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
Per `account-aggregation-sources`, immetti uno dei seguenti valori.
+ Un elenco separato da virgole Account AWS IDs per il quale si desidera aggregare i dati. Raccogli l'account IDs tra parentesi quadre e assicurati di evitare le virgolette (ad esempio,). `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`
+ Puoi anche caricare un file JSON separato da virgole. Account AWS IDs Caricare il file utilizzando la sintassi seguente: `--account-aggregation-sources MyFilePath/MyFile.json`
Il file JSON deve avere il seguente formato:
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. Premere Invio per eseguire il comando.
Verrà visualizzato un output simile al seguente:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
Prima di avviare questa procedura, devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità.
**Nota**
Assicurati che l'account di gestione registri un amministratore delegato con entrambi i seguenti nomi principali di AWS Config servizio (`config.amazonaws.com`e`config-multiaccountsetup.amazonaws.com`) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta [Registrazione di un amministratore delegato per AWS Config](aggregated-register-delegated-administrator.md).
1. Apri un prompt dei comandi o una finestra del terminale.
1. Se non hai creato un ruolo IAM per il tuo AWS Config aggregatore, inserisci il seguente comando:
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**Nota**
Copia l'Amazon Resource Name (ARN) da questo ruolo IAM per utilizzarlo quando crei il tuo AWS Config aggregatore. Puoi trovare l'ARN nell'oggetto risposta.
1. Se non hai associato una policy al tuo ruolo IAM, collega la policy [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html)gestita o inserisci il seguente comando:
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. Digitare il comando seguente per creare un aggregatore denominato **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. Premere Invio per eseguire il comando.
Verrà visualizzato un output simile al seguente:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Registrazione di un amministratore delegato per AWS Config
Gli amministratori delegati sono account all'interno di una determinata AWS organizzazione a cui sono concessi privilegi amministrativi aggiuntivi per un servizio specifico. AWS *Per ulteriori informazioni, consulta [Amministratore delegato nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) per l'utente.AWS Organizations * È necessario utilizzare il AWS CLI per registrare un amministratore delegato.
**Registrazione di un amministratore delegato**
1. Accedi con le credenziali dell'account di gestione.
1. Apri un prompt dei comandi o una finestra del terminale.
1. Immettete il seguente comando per abilitare l'accesso al servizio in qualità di amministratore delegato per consentire all'organizzazione di distribuire e gestire AWS Config regole e pacchetti di conformità in tutta l'organizzazione:
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. Immettete il seguente comando per abilitare l'accesso al servizio in qualità di amministratore delegato per consentire all'organizzazione di aggregare i dati AWS Config all'interno dell'organizzazione:
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. Per verificare se l'abilitazione dell'accesso al servizio è completa, digita il comando seguente e premi Invio per eseguirlo.
```
aws organizations list-aws-service-access-for-organization
```
Verrà visualizzato un output simile al seguente:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. Digita quindi il comando seguente per registrare un account membro come amministratore delegato per AWS Config.
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
and
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. Per verificare se la registrazione dell'amministratore delegato è completa, digita il seguente comando dall'account di gestione e premi Invio per eseguirlo.
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
and
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
Verrà visualizzato un output simile al seguente:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# Modifica degli aggregatori per AWS Config
Puoi usare la AWS Config console o il AWS CLI per modificare i tuoi aggregatori.
------
#### [ Editing Aggregators (Console) ]
1. Accedi a Console di gestione AWS e apri la AWS Config console da [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Vai alla pagina **Aggregator** e scegli il nome dell'aggregatore.
1. Scegliere **Actions (Operazioni)**, quindi scegliere **Edit (Modifica)**.
1. Utilizza le sezioni della pagina **Modifica aggregatore** per modificare gli account di origine, i ruoli IAM o le regioni dell'aggregatore.
**Nota**
Non è possibile modificare il tipo di origine da account singoli a organizzazione e viceversa.
1. Scegli **Save** (Salva).
------
#### [ Editing Aggregators (AWS CLI) ]
1. Puoi utilizzare il comando `put-configuration-aggregator` per aggiornare o modificare un aggregatore di configurazioni.
Per aggiungere un nuovo ID account a **MyAggregator** digita il comando seguente:
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. In base al tuo account di origine, dovrebbe essere visualizzato un output simile al seguente:
**Per account singoli**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
O
**Per un'organizzazione**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Eliminazione degli aggregatori per AWS Config
Puoi usare la AWS Config console o AWS CLI eliminare i tuoi aggregatori.
------
#### [ Deleting Aggregators (Console) ]
1. Accedi a Console di gestione AWS e apri la AWS Config console a [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Vai alla pagina **Aggregator** e scegli il nome dell'aggregatore.
1. Scegliere **Actions (Operazioni)**, quindi selezionare **Delete (Elimina VPC)**.
Viene visualizzato un messaggio di avviso. L'eliminazione di un aggregatore comporta la perdita di tutti i dati aggregati. Non è possibile ripristinare tali dati, ma i dati del/degli account di origine non sono intaccati.
1. Scegliere **Delete (Elimina)** per confermare la scelta.
------
#### [ Deleting Aggregators (AWS CLI) ]
Immetti il comando seguente:
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
In caso di esito positivo, il comando viene eseguito senza ulteriore output.
------
# Autorizzazione degli account di aggregazione alla raccolta dei dati AWS Config di configurazione e conformità
L'*autorizzazione* si riferisce alle autorizzazioni concesse a un account aggregatore e a una regione per raccogliere i dati di AWS Config configurazione e conformità. L'autorizzazione non è obbligatoria se stai aggregando account di origine che fanno parte di AWS Organizations. Puoi utilizzare la AWS Config console o AWS CLI autorizzare gli account aggregatori.
**Topics**
+ [
## Considerazioni
](#aggregated-add-authorization-considerations)
+ [
## Aggiungere l'autorizzazione
](#aggregated-add-authorization-procedure)
## Considerazioni
**Esistono due tipi di aggregatori: aggregatore di account individuali e aggregatore di organizzazioni**
Per un aggregatore di account individuali, è richiesta l'autorizzazione per tutti gli account e le regioni di origine che desideri includere, inclusi gli account e le regioni esterni e gli account e le regioni membri dell'organizzazione.
Per un aggregatore di organizzazioni, l'autorizzazione non è richiesta per le aree degli account membri dell'organizzazione poiché l'autorizzazione è integrata nel servizio. AWS Organizations
**Gli aggregatori non si attivano automaticamente per conto AWS Config dell'utente**
AWS Config deve essere abilitato nell'account di origine e nella regione per entrambi i tipi di aggregatore, affinché AWS Config i dati vengano generati nell'account di origine e nella regione.
## Aggiungere l'autorizzazione
------
#### [ Adding Authorization (Console) ]
Puoi aggiungere l'autorizzazione a concedere l'autorizzazione agli account aggregatori e alle regioni per raccogliere dati AWS Config di configurazione e conformità.
1. Accedi a Console di gestione AWS e apri la AWS Config console da [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Vai alla pagina **Authorizations (Autorizzazioni)** e seleziona **Add authorization (Aggiungi autorizzazione)**.
1. Per l'**Aggregator account (Account aggregatore)**, digita l'ID a 12 cifre dell'account di un aggregatore.
1. In **Regione aggregatore**, seleziona le Regioni AWS in cui l'account dell'aggregatore è autorizzato a raccogliere i dati di configurazione e conformità di AWS .
1. Seleziona **Aggiungi autorizzazione** per confermare la selezione.
AWS Config visualizza un account aggregatore, una regione e lo stato di autorizzazione.
**Nota**
Puoi anche aggiungere autorizzazioni agli account aggregatori e alle regioni in modo programmatico utilizzando modelli di esempio. CloudFormation Per ulteriori informazioni, consulta [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html) nella *Guida per l'utente di CloudFormation *.
------
#### [ Authorizing a Pending Request (Console) ]
Se è presente una richiesta di autorizzazione in sospeso dall'account di un aggregatore esistente, visualizzerai lo stato della richiesta nella pagina **Autorizzazioni**. È possibile autorizzare una richiesta in sospeso da questa pagina.
1. Scegli l'account dell'aggregatore che desideri autorizzare, quindi seleziona **Autorizza**.
Viene visualizzato un messaggio di conferma per confermare che si desidera concedere all'account aggregatore l'autorizzazione a raccogliere AWS Config dati da questo account.
1. Seleziona nuovamente **Autorizza** per confermare che desideri concedere l'autorizzazione all'account dell'aggregatore.
Lo stato di autorizzazione cambia da **Requesting for authorization (Richiesta di autorizzazione)** a **Authorized (Autorizzato)**.
**Periodo di approvazione dell'autorizzazione**
L'approvazione dell'autorizzazione è necessaria per aggiungere gli account di origine all'aggregatore di account individuali. Le richieste di approvazione dell'autorizzazione in sospeso restano disponibili per 7 giorni dopo che un aggregatore di account individuali ha aggiunto un account di origine.
------
#### [ Adding Authorization (AWS CLI) ]
1. Apri un prompt dei comandi o una finestra del terminale.
1. Immetti il comando seguente:
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. Verrà visualizzato un output simile al seguente:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# Eliminazione dell'autorizzazione per gli account Aggregator a raccogliere dati di AWS Config configurazione e conformità
L'*autorizzazione* si riferisce alle autorizzazioni concesse a un account e a una regione di aggregazione per raccogliere i dati di AWS Config configurazione e conformità. L'autorizzazione non è obbligatoria se stai aggregando account di origine che fanno parte di AWS Organizations. Puoi utilizzare la AWS Config console o il AWS CLI per eliminare le autorizzazioni.
**Topics**
+ [
## Considerazioni
](#aggregated-delete-authorization-considerations)
+ [
## Eliminazione dell'autorizzazione
](#aaggregated-delete-authorization-procedure)
## Considerazioni
**Esistono due tipi di aggregatori: aggregatore di account individuali e aggregatore di organizzazioni**
Per un aggregatore di account individuali, è richiesta l'autorizzazione per tutti gli account e le regioni di origine che desideri includere, inclusi gli account e le regioni esterni e gli account e le regioni membri dell'organizzazione.
Per un aggregatore di organizzazioni, l'autorizzazione non è richiesta per le aree degli account membri dell'organizzazione poiché l'autorizzazione è integrata nel AWS Organizations servizio.
**Gli aggregatori non si attivano automaticamente per conto AWS Config dell'utente**
AWS Config deve essere abilitato nell'account di origine e nella regione per entrambi i tipi di aggregatore, affinché AWS Config i dati vengano generati nell'account di origine e nella regione.
## Eliminazione dell'autorizzazione
------
#### [ Deleting Authorization (Console) ]
1. Accedi a Console di gestione AWS e apri la AWS Config console a [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Scegli l'account dell'aggregatore per cui desideri eliminare l'autorizzazione, quindi seleziona **Elimina**.
Viene visualizzato un messaggio di avviso. Quando elimini questa autorizzazione, AWS Config i dati non verranno più condivisi con l'account aggregatore.
1. Seleziona nuovamente **Elimina** per confermare la scelta.
L'account dell'aggregatore è stato eliminato.
------
#### [ Deleting Authorization (AWS CLI) ]
Immetti il comando seguente:
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
In caso di esito positivo, il comando viene eseguito senza ulteriore output.
------
# Visualizzazione degli aggregatori per AWS Config
Puoi usare la AWS Config console o il AWS CLI per visualizzare i tuoi aggregatori.
------
#### [ Viewing Aggregators (Console) ]
[Per visualizzare i pacchetti di conformità in Console di gestione AWS, consulta Aggregator Dashboard.](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)
------
#### [ Viewing Aggregators (AWS CLI) ]
1. Immetti il comando seguente:
```
aws configservice describe-configuration-aggregators
```
1. In base al tuo account di origine, dovrebbe essere visualizzato un output simile al seguente:
**Per account singoli**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
O
**Per un'organizzazione**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Risoluzione dei problemi relativi all'aggregazione di dati multiregione per più account per AWS Config
AWS Config potrebbe non aggregare i dati dagli account di origine per uno dei seguenti motivi:
****
| Se ciò accade | Esegui questa operazione |
| --- | --- |
| AWS Config non è abilitato nell'account di origine per gli account all'interno di un'organizzazione. | Abilita AWS Config nell'account di origine e autorizza l'account aggregatore a raccogliere dati. |
| L'autorizzazione non è concessa a un account dell'aggregatore. | Accedi all'account di origine e concedi l'autorizzazione all'account aggregatore per la raccolta dei dati. AWS Config |
| Potrebbe verificarsi un problema temporaneo che impedisce l'aggregazione dei dati. | L'aggregazione dei dati è soggetta a ritardi. Attendi alcuni minuti. |
AWS Config potrebbe non aggregare i dati di un'organizzazione per uno dei seguenti motivi:
****
| Se ciò accade | Esegui questa operazione |
| --- | --- |
| AWS Config non è in grado di accedere ai dettagli dell'organizzazione a causa di un ruolo IAM non valido. | Crea un ruolo IAM o seleziona un ruolo IAM valido dall'elenco dei ruoli IAM. Se il ruolo IAM non è valido per più di 7 giorni, AWS Config elimina i dati dell'intera organizzazione. |
| AWS Config l'accesso al servizio è disabilitato nell'organizzazione. | È possibile abilitare l'integrazione tra AWS Config e AWS Organizations tramite l'EnableAWSServiceAccessAPI. Se scegli Aggiungi la mia organizzazione nella console, abilita AWS Config automaticamente l'integrazione tra AWS Config e AWS Organizations. |
| AWS Config non è in grado di accedere ai dettagli dell'organizzazione perché tutte le funzionalità non sono abilitate nell'organizzazione. | [Abilita tutte le funzionalità](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella AWS Organizations console. |
| I cambiamenti organizzativi, come l'aggiunta e la rimozione di un account e l'abilitazione e la disabilitazione dell'accesso al servizio, non vengono aggiornati immediatamente nelle regioni Medio Oriente (Bahrein) e Asia Pacifico (Hong Kong). | I cambiamenti organizzativi sono soggetti a un ritardo di 2 ore. Attendi 2 ore per visualizzarli. |