Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Prima di implementare il pacchetto di conformità, attiva la registrazione. AWS Config

Passaggio 1: avviare la registrazione AWS Config

Fase 2: Prerequisiti per l'utilizzo di un Conformance Pack con riparazione

Prima di distribuire pacchetti di conformità utilizzando modelli di esempio con correzione, è necessario creare risorse appropriate come Automation Assume Role e altre risorse in base all'obiettivo di correzione. AWS

Se hai un ruolo di automazione esistente che usi per la correzione con i documenti SSM, puoi fornire direttamente l'ARN del ruolo. Se hai risorse puoi specificarle nel modello.

AWS Config non supporta funzioni AWS CloudFormation intrinseche per il ruolo di esecuzione dell'automazione. È necessario fornire l'ARN esatto del ruolo come stringa.

Per ulteriori informazioni su come passare l'ARN esatto, consulta Modelli di esempio di pacchetto di conformità. Quando usi i modelli di esempio, aggiorna l'ID dell'account e l'ID dell'account di gestione dell'organizzazione.

Fase 2: Prerequisiti per l'utilizzo di un Conformance Pack con una o più regole AWS Config

Prima di distribuire un pacchetto di conformità con una o più AWS Config regole personalizzate, create risorse appropriate come la AWS Lambda funzione e il ruolo di esecuzione corrispondente.

Se disponi di una AWS Config regola personalizzata esistente, puoi fornire direttamente la AWS Lambda funzione ARN of per creare un'altra istanza di quella regola personalizzata come parte del pacchetto.

Se non disponi di una AWS Config regola personalizzata esistente, puoi creare una AWS Lambda funzione e utilizzare l'ARN della funzione Lambda. Per ulteriori informazioni, consulta AWS Config Regole personalizzate.

Se la AWS Lambda funzione è presente in un altro account Account AWS, è possibile creare AWS Config regole con l'autorizzazione appropriata della funzione tra account AWS Lambda . Per ulteriori informazioni, consulta Come gestire centralmente AWS Config le regole in più post Account AWS del blog.

Same account bucket policy

AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta Regole di denominazione dei bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::delivery-bucket-name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}
        

Cross-account bucket policy

AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta Regole di denominazione dei bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
            "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Sid": " AWSConfigConformsBucketReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
    }
  ]
}

Nota

Quando implementi pacchetti di conformità per più account, il nome del bucket di consegna Amazon S3 deve iniziare con awsconfigconforms.

Fase 2: Prerequisiti per gli Organization Conformance Pack

Specifica l'ARN di un ruolo di esecuzione di automazione per la correzione nel modello se il modello di input hai una configurazione di correzione automatica. Assicurati che in tutti gli account (gestione e membro) di un'organizzazione esista un ruolo con il nome specificato. È necessario creare questo ruolo in tutti gli account prima di chiamare PutOrganizationConformancePack. Puoi creare questo ruolo manualmente o utilizzando gli AWS CloudFormation stack-set per creare questo ruolo in ogni account.

Se il modello utilizza una funzione AWS CloudFormation intrinseca Fn::ImportValue per importare una particolare variabile, tale variabile deve essere definita come una Export Value in tutti gli account membri di quell'organizzazione.

Per le AWS Config regole personalizzate, vedi Come gestire centralmente AWS Config le regole su più Account AWS blog per configurare le autorizzazioni appropriate.

Policy del bucket di organizzazione:

AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta Regole di denominazione dei bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                 "s3:GetObject",
                 "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        },
        {
            "Sid": "AllowGetBucketAcl",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        }
    ]
}