Creazione di aggregatori - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di aggregatori

Puoi usare la AWS Config console o il AWS CLI per creare i tuoi aggregatori. Da qui AWS Config puoi scegliere Aggiungi ID account individuali o Aggiungi la mia organizzazione da cui desideri aggregare i dati. Per il momento AWS CLI ci sono due diverse procedure.

Creating Aggregators (Console)

Nella pagina Aggregator, puoi creare un aggregatore specificando gli ID dell'account di origine o l'organizzazione e le regioni da cui desideri aggregare i dati.

  1. Accedi AWS Management Console e apri la console all'indirizzo https://console.aws.amazon.com/config/. AWS Config

  2. Accedi alla pagina Aggregatori e scegli Crea aggregatore.

  3. Consenti la replica dei dati, autorizza AWS Config a replicare i dati dagli account di origine in un account aggregatore.

    Scegli Consenti AWS Config per replicare i dati dagli account di origine in un account aggregatore. Devi selezionare questa casella di controllo per proseguire con l'aggiunta dell'aggregatore.

  4. Alla voce Aggregator name (Nome aggregatore) digitare un nome per l'aggregatore.

    Il nome dell'aggregatore deve essere un nome univoco con una lunghezza massima di 64 caratteri alfanumerici. Il nome può contenere trattini e caratteri di sottolineatura.

  5. Per Seleziona account di origine, scegli Aggiungi ID account individuali o Aggiungi la mia organizzazione da cui desideri aggregare i dati.

    Nota

    L'autorizzazione è richiesta quando utilizzi Aggiungi singoli ID account per selezionare gli account di origine.

    • Scegliendo Add individual account IDs (Aggiungi ID account singoli) è possibile aggiungere, a un account di aggregazione., degli ID account singoli.

      1. Scegliere Add source accounts (Aggiungi account di origine) per aggiungere gli ID account.

      2. Scegli Aggiungi Account AWS ID per aggiungere manualmente ID separati da Account AWS virgole. Se desideri aggregare i dati dall'account corrente, digita l'ID account dell'account stesso.

        O

        Scegli Carica un file per caricare un file (.txt o.csv) di ID separati da virgole. Account AWS

      3. Scegliere Add source accounts (Aggiungi account di origine) per confermare la selezione.

    • Scegliendo Add my organization (Aggiungi la mia organizzazione), è possibile aggiungere, a un account di aggregazione, tutti gli account della propria organizzazione.

      Nota

      Devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità. Se il chiamante è un account di gestione, chiama l'API per abilitare l'integrazione tra e AWS Config . EnableAwsServiceAccess AWS Config AWS Organizations Se il chiamante è un amministratore delegato registrato, AWS Config chiama l'ListDelegatedAdministratorsAPI per verificare se il chiamante è un amministratore delegato valido.

      Assicurati che l'account di gestione registri l'amministratore delegato per il nome principale del AWS Config servizio (config.amazonaws.com) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta Registrazione di un amministratore delegato.

      Devi assegnare un ruolo IAM per consentire di chiamare API di sola lettura per la tua organizzazione. AWS Config

      1. Scegli Scegli un ruolo dal tuo account per selezionare un ruolo IAM esistente.

        Nota

        Nella console IAM, associa la policy AWSConfigRoleForOrganizations gestita al ruolo IAM. L'aggiunta di questa policy consente di AWS Config chiamare AWS Organizations DescribeOrganization e API. ListAWSServiceAccessForOrganization ListAccounts Per impostazione predefinita, config.amazonaws.com viene specificato automaticamente come entità attendibile.

      2. Oppure, per creare un ruolo IAM, scegli Crea un ruolo e digita un nome per il tuo ruolo IAM.

  6. Alla voce Regions (Regioni), scegliere le regioni per cui si desiderano aggregare i dati.

    • Seleziona una o più regioni o tutte le Regioni AWS.

    • Seleziona Includi futuro Regioni AWS per aggregare i dati di tutti i futuri Regioni AWS in cui è abilitata l'aggregazione di dati multi-account e più regioni.

  7. Scegli Salva. AWS Config visualizza l'aggregatore.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. Apri un prompt dei comandi o una finestra del terminale.

  2. Digitare il comando seguente per creare un aggregatore denominato MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    Per account-aggregation-sources, immetti uno dei seguenti valori.

    • Un elenco di Account AWS ID separati da virgole per i quali desideri aggregare i dati. Racchiudi l'ID account tra parentesi quadre e assicurati di fare l'escape delle virgolette (ad esempio, "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • Puoi anche caricare un file JSON di ID separati da virgole. Account AWS Caricare il file utilizzando la sintassi seguente: --account-aggregation-sources MyFilePath/MyFile.json

      Il file JSON deve avere il seguente formato:

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. Premere Invio per eseguire il comando.

    Verrà visualizzato un output simile al seguente:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggreagtors using AWS Organizations (AWS CLI)

Prima di avviare questa procedura, devi aver effettuato l'accesso all'account di gestione o a un account amministratore delegato registrato e devono essere abilitate nell'organizzazione tutte le funzionalità.

Nota

Assicurati che l'account di gestione registri un amministratore delegato con entrambi i seguenti nomi principali di AWS Config servizio (config.amazonaws.com.rproxy.goskope.comeconfig-multiaccountsetup.amazonaws.com) prima che l'amministratore delegato crei un aggregatore. Per registrare un amministratore delegato, consulta Registrazione di un amministratore delegato.

  1. Apri un prompt dei comandi o una finestra del terminale.

  2. Se non hai creato un ruolo IAM per il tuo AWS Config aggregatore, inserisci il seguente comando: 

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    Nota

    Copia l'Amazon Resource Name (ARN) da questo ruolo IAM per utilizzarlo quando crei il tuo AWS Config aggregatore. Puoi trovare l'ARN nell'oggetto risposta.

  3. Se non hai associato una policy al tuo ruolo IAM, collega la policy AWSConfigRoleForOrganizationsgestita o inserisci il seguente comando: 

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. Digitare il comando seguente per creare un aggregatore denominato MyAggregator.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. Premere Invio per eseguire il comando.

    Verrà visualizzato un output simile al seguente:

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}