Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisito per i Conformance Pack per AWS Config
Prima di distribuire il pacchetto di conformità, attiva la registrazione. AWS Config
**Topics**
+ [Passaggio 1: avviare la registrazione AWS Config](#cpack-prerequisites-config-recording)
+ [Fase 2: Prerequisiti aggiuntivi in base al tipo di Conformance Pack](#cpack-prerequisites-config-recording)
## Fase 1: Avvio della AWS Config registrazione (obbligatorio per tutti i pacchetti di conformità)
1. Accedi a Console di gestione AWS e apri la AWS Config console a [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Scegliere **Settings (Impostazioni)** nel riquadro di navigazione.
1. Per avviare la registrazione, in **La registrazione è disattivata**, scegli **Attiva.** Quando richiesto, scegli **Continua**.
## Fase 2: Prerequisiti aggiuntivi in base al tipo di Conformance Pack
### A. Prerequisiti per l'utilizzo di un Conformance Pack con correzione
Prima di distribuire pacchetti di conformità utilizzando modelli di esempio con correzione, è necessario creare risorse appropriate, come Automation Assume Role e altre risorse, in base all'obiettivo di correzione. AWS
Se hai un ruolo di automazione esistente che usi per la correzione con i documenti SSM, puoi fornire direttamente l'ARN del ruolo. Se hai risorse puoi specificarle nel modello.
**Nota**
Quando implementi un pacchetto di conformità con riparazione in un'organizzazione, occorre specificare l'ID dell'account di gestione dell'organizzazione. In caso contrario, durante l'implementazione del pacchetto di conformità organizzativo, AWS Config sostituisce automaticamente l'ID dell'account di gestione con l'ID dell'account membro.
AWS Config non supporta funzioni CloudFormation intrinseche per il ruolo di esecuzione dell'automazione o per. `ConfigRuleName` È necessario fornire l'ARN esatto del ruolo come stringa e utilizzare il nome completo della regola senza funzioni intrinseche.
Per ulteriori informazioni su come passare l'ARN esatto, consulta [Modelli di esempio del Conformance Pack per AWS Config](conformancepack-sample-templates.md). Quando usi i modelli di esempio, aggiorna l'ID dell'account e l'ID dell'account di gestione dell'organizzazione.
### B. Prerequisiti per l'utilizzo di un Conformance Pack con una o più regole personalizzate AWS Config
Prima di distribuire un pacchetto di conformità con una o più AWS Config regole personalizzate, create risorse appropriate come la AWS Lambda funzione e il ruolo di esecuzione corrispondente.
Se disponi di una AWS Config regola personalizzata esistente, puoi fornire direttamente la AWS Lambda funzione `ARN` of per creare un'altra istanza di quella regola personalizzata come parte del pacchetto.
Se non disponi di una AWS Config regola personalizzata esistente, puoi creare una AWS Lambda funzione e utilizzare l'ARN della funzione Lambda. Per ulteriori informazioni, consulta [AWS Config Regole personalizzate](evaluate-config_develop-rules.md).
Se la AWS Lambda funzione è presente in un altro account Account AWS, è possibile creare AWS Config regole con l'autorizzazione appropriata della funzione tra account AWS Lambda . Per ulteriori informazioni, consulta [Come gestire centralmente AWS Config le regole in più](https://aws.amazon.com/blogs/devops/how-to-centrally-manage-aws-config-rules-across-multiple-aws-accounts/) post Account AWS del blog.
------
#### [ Same account bucket policy ]
AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta [Regole di denominazione dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigConformsBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::delivery-bucket-name"
},
{
"Sid": "AWSConfigConformsBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
------
#### [ Cross-account bucket policy ]
AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta [Regole di denominazione dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigConformsBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
"PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
},
{
"Sid": "AWSConfigConformsBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": " AWSConfigConformsBucketReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
}
]
}
```
------
**Nota**
Quando implementi pacchetti di conformità per più account, il nome del bucket di consegna Amazon S3 deve iniziare con `awsconfigconforms`.
------
### C. Prerequisiti per gli Organization Conformance Pack
Specifica l'ARN di un ruolo di esecuzione di automazione per la correzione nel modello se il modello di input hai una configurazione di correzione automatica. Assicurati che in tutti gli account (gestione e membro) di un'organizzazione esista un ruolo con il nome specificato. È necessario creare questo ruolo in tutti gli account prima di chiamare `PutOrganizationConformancePack`. Puoi creare questo ruolo manualmente o utilizzando gli AWS CloudFormation stack-set per creare questo ruolo in ogni account.
Se il modello utilizza una funzione AWS CloudFormation intrinseca `[Fn::ImportValue](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-importvalue.html)` per importare una particolare variabile, tale variabile deve essere definita come una `[Export Value](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html)` in tutti gli account membri di quell'organizzazione.
Per le AWS Config regole personalizzate, vedi [Come gestire centralmente AWS Config le regole su più Account AWS](https://aws.amazon.com/blogs/devops/how-to-centrally-manage-aws-config-rules-across-multiple-aws-accounts/) blog per configurare le autorizzazioni appropriate.
**Policy del bucket di organizzazione:**
AWS Config Per poter archiviare gli elementi del Conformance Pack, dovrai fornire un bucket Amazon S3 e aggiungere le seguenti autorizzazioni. Per ulteriori informazioni sulla denominazione dei bucket, consulta [Regole di denominazione dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "customer_org_id"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
}
}
},
{
"Sid": "AllowGetBucketAcl",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "customer_org_id"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
}
}
}
]
}
```
------
**Nota**
Quando implementi pacchetti di conformità in un'organizzazione, il nome del bucket di consegna Amazon S3 deve iniziare con `awsconfigconforms`.