Gestione dei pacchetti di conformità in tutti gli account dell'organizzazione - AWS Config
ConsiderazioniImplementazioneSupporto nelle regioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dei pacchetti di conformità in tutti gli account dell'organizzazione

Utilizzo AWS Config per gestire tutti i pacchetti di conformità Account AWS all'interno di un'organizzazione. Puoi eseguire le operazioni indicate di seguito:

  • Implementa, aggiorna ed elimina centralmente i pacchetti di conformità tra gli account dei membri di un'organizzazione in AWS Organizations.

  • Implementa un set comune di AWS Config regole e azioni correttive su tutti gli account e specifica gli account dove AWS Config le regole e le azioni correttive non devono essere create.

  • Usa l'account di gestione in AWS Organizations per far rispettare la governance assicurando che il sottostante AWS Config le regole e le azioni correttive non sono modificabili dagli account dei membri dell'organizzazione.

Considerazioni

Per le implementazioni in diverse regioni

L'APIinvito a implementare regole e pacchetti di conformità tra gli account è AWS Specifico per regione. A livello di organizzazione, è necessario modificare il contesto della API chiamata in un'altra regione se si desidera implementare le regole in altre regioni. Ad esempio, per implementare una regola negli Stati Uniti orientali (Virginia settentrionale), modifica la regione in Stati Uniti orientali (Virginia settentrionale) e quindi chiama PutOrganizationConfigRule.

Per gli account all'interno di un'organizzazione

Se un nuovo account entra a far parte di un'organizzazione, la regola o il pacchetto di conformità vengono implementati in quell'account. Quando un account lascia un'organizzazione, la regola o il pacchetto di conformità vengono rimossi.

Se implementi una regola o un pacchetto di conformità organizzativi in un account amministratore dell'organizzazione e quindi stabilisci un amministratore delegato e implementi una regola o un pacchetto di conformità organizzativi nell'account amministratore delegato, non potrai visualizzare la regola o il pacchetto di conformità organizzativi nell'account amministratore dell'organizzazione dall'account amministratore delegato o visualizzare la regola o il pacchetto di conformità organizzativi nell'account amministratore delegato dall'account amministratore dell'organizzazione. L'DescribeOrganizationConfigRulese DescribeOrganizationConformancePacksAPIspuò vedere e interagire solo con le risorse relative all'organizzazione che sono state distribuite all'interno dell'account che le chiama. APIs

Meccanismo di tentativi per i nuovi account aggiunti a un'organizzazione

Se non è disponibile un registratore, l'implementazione delle regole e dei pacchetti di conformità organizzativi esistenti viene ritentata solo per 7 ore dopo l'aggiunta di un account all'organizzazione. È necessario creare un registratore, se non ne esiste uno, entro 7 ore dall'aggiunta di un account all'organizzazione.

Account di gestione dell'organizzazione, amministratori delegati e ruoli collegati ai servizi

Se utilizzi un account di gestione dell'organizzazione e intendi utilizzare un amministratore delegato per la distribuzione organizzativa, tieni presente che AWS Config non creerà automaticamente il ruolo collegato al servizio (). SLR È necessario creare manualmente il ruolo collegato al servizio () SLR separatamente utilizzando. IAM

Se non disponi di un account SLR di gestione, non sarai in grado di distribuire risorse su quell'account da un account amministratore delegato. Potrai comunque distribuire pacchetti di conformità sugli account dei membri dagli account di gestione e dagli account di amministratore delegato. Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi nella AWS Identity and Access Management (IAM) Guida per l'utente.

Implementazione

To deploy with the AWS Management Console

Per distribuire un pacchetto di conformità in un'organizzazione a partire da AWS console, uso AWS Systems Manager. Per ulteriori informazioni, consulta Deploy AWS Config pacchetti di conformità inclusi in AWS Systems Manager Guida per l'utente.

To deploy with the AWS API

Per informazioni su come effettuare l'integrazione AWS Config con AWS Organizations, vedi AWS Config e AWS Organizations nella AWS Organizations Guida per l'utente. Garantire AWS Config la registrazione è attiva prima di utilizzare quanto segue APIs per gestire le regole del Conformance Pack in tutte le aree Account AWS all'interno di un'organizzazione:

Supporto nelle regioni

Distribuzione di pacchetti di conformità tra gli account dei membri in un AWS L'organizzazione è supportata nelle seguenti regioni.

Nome della regione Regione Endpoint Protocollo
US East (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
US East (N. Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Stati Uniti occidentali (California settentrionale) us-west-1 config.us-west-1.amazonaws.com HTTPS
US West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Africa (Cape Town) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia Pacifico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia Pacific (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia Pacifico (Giacarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia Pacifico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pacifico (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia Pacifico (Osaka-Locale) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pacifico (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia Pacifico (Singapore) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacifico (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacifico (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canada (Centrale) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Canada occidentale (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Francoforte) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londra) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milano) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Parigi) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spagna) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stoccolma) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zurigo) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israele (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Medio Oriente (Bahrein) me-south-1 config.me-south-1.amazonaws.com HTTPS
Medio Oriente (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Sud America (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Stati Uniti orientali) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Stati Uniti occidentali) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS