As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Agregação de dados multiconta e multirregional para AWS Config
Um agregador é um tipo de AWS Config recurso que coleta dados AWS Config de configuração e conformidade do seguinte:
+ Várias contas e várias AWS regiões.
+ Conta única e várias AWS regiões.
+ Uma organização AWS Organizations e todas as contas dessa organização que foram AWS Config ativadas.
Use um agregador para visualizar a configuração de recursos e os dados de conformidade registrados no AWS Config. A imagem a seguir mostra como um agregador coleta AWS Config dados de várias contas e regiões.
![\[A imagem mostra o processo de agregação AWS Config de dados. Ela envolve a coleta de dados de várias contas e AWS regiões de origem, a agregação de informações de configuração de recursos e dados de conformidade e a apresentação de uma visão agregada para ajudar no gerenciamento.\]](http://docs.aws.amazon.com/pt_br/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## Casos de uso
+ **Monitoramento de conformidade**: você pode agregar dados de conformidade para avaliar as posturas gerais de conformidade da sua organização ou de todas as contas e Regiões.
+ **Rastreamento de alterações**: é possível acompanhar as alterações nos recursos ao longo do tempo em toda a sua organização ou em todas as contas e Regiões.
+ **Relacionamentos de recursos**: é possível analisar dependências e relacionamentos de recursos em toda a sua organização ou entre contas e Regiões.
**nota**
Os agregadores fornecem uma *visualização somente leitura* das contas e Regiões de origem que o agregador está autorizado a exibir replicando dados das contas de origem para a conta de agregador. Os agregadores não fornecem acesso mutável a uma conta ou região de origem. Por exemplo, isso significa que você não pode implantar regras por meio de um agregador ou extrair arquivos de instantâneo da conta ou da região de origem por meio de um agregador.
O uso de agregadores não incorre em custos adicionais.
## Terminologia
Uma *conta de origem* é a Conta da AWS partir da qual você deseja agregar dados de configuração e conformidade de AWS Config recursos. Uma conta de origem pode ser uma conta individual ou uma organização no AWS Organizations. Você pode fornecer contas de origem individualmente ou recuperá-las por meio AWS Organizations de.
Uma *região de origem* é a AWS região da qual você deseja agregar dados de AWS Config configuração e conformidade.
Uma *conta de agregador* é uma conta na qual você cria um agregador.
A *autorização* se refere às permissões que você concede a uma conta agregadora e a uma região para coletar seus dados AWS Config de configuração e conformidade. A autorização não será necessária se você estiver agregando contas de origem que fazem parte do AWS Organizations.
Um *agregador vinculado a serviços* está vinculado a um específico. AWS service (Serviço da AWS) Os dados de configuração e conformidade no escopo são definidos pelo serviço vinculado.
## Suporte regional
Atualmente, a agregação de dados de várias contas e várias regiões tem suporte nas seguintes Regiões:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/config/latest/developerguide/aggregate-data.html)
# Visualizando dados de conformidade e inventário no painel do agregador para AWS Config
O painel na página **Agregadores** exibe os dados de configuração dos seus recursos agregados AWS . Ele fornece uma visão geral de suas regras, pacotes de conformidade e seus estados de conformidade.
O painel fornece a contagem total de AWS recursos. Os tipos de recursos e contas de origem são classificadas pelo maior número de recursos. Isso também exibe uma contagem de regras que não estão em conformidade e das que estão. As regras que não estão em conformidade são classificadas pelo maior número de recursos que não estão em conformidade. Os pacotes de conformidade e as contas de origem que não estão em conformidade são classificados pelo maior número de regras que não estão em conformidade.
Após a configuração AWS Config, ele começa a agregar dados das contas de origem especificadas em um agregador. Pode demorar alguns minutos para que o status de conformidade das regras seja exibido.
## Uso do Painel do Agregador
1. Faça login no Console de gerenciamento da AWS e abra o AWS Config console em [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Navegue até a página **Agregadores**. Você pode ver:
+ Suas regras e seus estados de conformidade.
+ Seus pacotes de conformidade e seus estados de conformidade.
+ Seus AWS recursos e seus dados de configuração.
1.
Escolha um agregador no painel. Filtre seus agregadores pelo nome do agregador. Você pode visualizar os seguintes widgets:
+ **Inventário de recursos**
Visualize os dez principais tipos de recursos do agregador selecionado, em ordem decrescente pela contagem de recursos. Escolha o número total de recursos para o agregador selecionado, exibido entre parênteses após o **Inventário de recursos**, para ir até a página **Recursos** agregados, na qual você pode visualizar todos os recursos de um agregador. Como alternativa, escolha um tipo de recurso no widget para acessar a página **Recursos** agregados, filtrada conforme o tipo de recurso especificado.
+ **Contas por contagem de recursos**
Visualize as cinco principais contas do agregador selecionado em ordem decrescente, pela contagem de recursos. Escolha uma conta no widget para acessar a página **Recursos**, filtrada usando a conta especificada.
+ **Regras que não estão em conformidade**
Veja as cinco principais regras do agregador selecionado que não estão em conformidade, em ordem decrescente de acordo com o número de recursos que não estão em conformidade. Escolha uma regra no widget para acessar a página de detalhes da regra especificada. Escolha **Visualizar todas as regras não compatíveis** para acessar a página **Regras** agregadas, na qual você pode visualizar todas as regras de um agregador.
+ **Contas por regras que não estão em conformidade**
Visualize as cinco principais contas do agregador selecionado, em ordem decrescente pelo número de regras que não estão em conformidade. Escolha uma conta no widget para acessar a página **Regras** agregadas, na qual você pode ver todas as regras de um agregador filtradas usando a conta especificada.
+ **Contas por pacotes de conformidade que não estão em conformidade**
Visualize as cinco principais contas do agregador selecionado, em ordem decrescente pelo número de pacotes de conformidade que não estão em conformidade. Escolha uma conta no widget para acessar a página agregada do **Pacote de conformidade**, na qual é possível ver todos os pacotes de conformidade de um agregador filtrado usando a conta especificada.
1. No painel de navegação à esquerda, escolha uma das seguintes opções no menu suspenso:
+ **Painel de conformidade**
Visualize painéis de conformidade automatizados usando os widgets que resumem os insights sobre a conformidade de recursos em seu agregador. Você pode ver dados como os dez principais tipos de recursos por recursos que não estão em conformidade e os dez principais pacotes de conformidade no nível de conta por regras que não estão em conformidade. Para obter informações sobre esses gráficos e tabelas, consulte [Painéis de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard).
+ **Pacotes de conformidade**
Veja todos os pacotes de conformidade criados e vinculados aos diferentes Contas da AWS em seu agregador. A página **Pacote de conformidade** exibe uma tabela que lista o nome, a região, o ID da conta e o status de conformidade de cada pacote de conformidade. Nessa página, você pode escolher um pacote de conformidade e **Visualizar detalhes** para ver informações sobre as regras, recursos e o status de conformidade desse pacote.
+ **Regras**
Veja todas as regras criadas e vinculadas às diferentes contas da AWS em seu agregador. A página **Regras** exibe uma tabela que lista o nome, o status de conformidade, a região e a conta de cada regra. Nessa página, você pode escolher uma regra e **Visualizar detalhes** para obter informações, como agregador, região, ID da conta e recursos no escopo.
+ **Painel de inventário**
Visualize painéis de inventário automatizados usando os widgets que resumem os insights sobre os dados de configuração de recursos em seu agregador. Você pode ver dados como os dez principais tipos de recursos por contagem de recursos e as dez principais contas por contagem de recursos. Para obter informações sobre esses gráficos e tabelas, consulte [Painéis de inventário](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard).
+ **Recursos**
Visualize todos os recursos que estão registrados e vinculados às diferentes contas da AWS em seu agregador. Na página **Recurso**, escolha um recurso e **Visualizar detalhes** para ver seus detalhes, as regras associadas a ele e a configuração atual do recurso. Você também pode ver informações sobre o recurso, como agregador, região, ID da conta, nome do recurso, tipo de recurso e ID do recurso.
+ **Autorizações**
Visualize e gerencie todas as contas atualmente autorizadas ou com autorização pendente. Na página **Autorizações**, escolha **Adicionar autorização** para fornecer acesso a outra conta. Escolha **Excluir autorização** para revogar o acesso de um ID de conta.
**nota**
**Solução de problemas**
Você poderá ver a mensagem **Data collection from all source accounts and regions is incomplete** exibida na visualização agregada pelos seguintes motivos:
A transferência de AWS Config regras não compatíveis e dados de configuração de AWS recursos está em andamento.
AWS Config não consigo encontrar regras que correspondam ao filtro que você aplicou. Selecione a conta ou a região apropriada e tente novamente.
Você pode ver esta mensagem na visualização agregada: **Data collection from your organization is incomplete. Você pode ver os dados abaixo apenas por 24 horas.** Isso pode acontecer por um dos seguintes motivos:
AWS Config não consegue acessar os detalhes da sua organização por causa de uma função do IAM que não é válida. Se o perfil do IAM permanecer inválido por mais de 24 horas, a AWS Config excluirá os dados de toda a organização.
AWS Config o acesso ao serviço está desativado em sua organização.
## Painel de conformidade
Visualize painéis de conformidade automatizados usando widgets que resumem os insights sobre a conformidade de recursos em seu agregador. Esse painel exibe somente regras com resultados de conformidade.
**nota**
**Limitações**
Os insights no painel de conformidade são fornecidos pelo recurso Consultas Avançadas do AWS Config, e esse recurso não oferece suporte a estruturas aninhadas nem à descompactação de matrizes aninhadas. Isso significa que o painel de conformidade exibe a conformidade geral de um recurso, não o status de conformidade de cada regra específica que relata um recurso.
Por exemplo, se você verificar o item de configuração (CI) para o tipo de recurso `AWS::Config::ResourceCompliance`, o painel exibirá os resultados de conformidade de todas as regras que relatam esse recurso. Se houver dez regras que relatem o recurso, nove delas COMPLIANT e somente uma NON\$1COMPLIANT, a conformidade geral desse recurso será NON\$1COMPLIANT.
**Resumo de conformidade por recursos**
Exibe um gráfico circular comparando o número de recursos que não estão em conformidade com recursos que não estão em conformidade do agregador selecionado. Passe o mouse sobre o gráfico para ver o número e a porcentagem exatos de recursos que estão em conformidade e os que não estão.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das Regiões em que o agregador selecionado está configurado para coletar dados.
**Os dez principais tipos de recursos por recursos que não estão em conformidade**
Exibe um gráfico de barras horizontais comparando até dez tipos de recursos do agregador selecionado em ordem decrescente, pelo número de recursos que não estão em conformidade. Passe o mouse sobre o gráfico para ver o número exato de recursos que não estão em conformidade para cada tipo de recurso.
Os dados exibidos dependem das configurações do gravador de configuração de cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados.
**As dez principais contas por recursos que não estão em conformidade**
*As dez principais contas por recursos que não estão em conformidade* exibe um gráfico de barras horizontais comparando até dez contas do agregador selecionado em ordem decrescente pelo número de recursos que não estão em conformidade. Passe o mouse sobre o gráfico para ver o número exato de recursos que não estão em conformidade de cada conta.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das Regiões em que o agregador selecionado está configurado para coletar dados.
**As dez principais regiões por recursos que não estão em conformidade**
Exibe um gráfico de barras horizontais comparando até dez regiões em que o agregador selecionado coleta dados em ordem decrescente pelo número de recursos que não estão em conformidade. Passe o mouse sobre o gráfico para ver o número exato de recursos que não estão em conformidade em cada Região.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado.
**Os dez principais pacotes de conformidade no nível de conta de acordo com regras que não estão em conformidade**
Exibe um gráfico de barras horizontais comparando até dez pacotes de conformidade no nível de conta do agregador selecionado em ordem decrescente pelo número de regras que não estão em conformidade. Passe o mouse sobre o gráfico para ver a porcentagem de regras que estão em conformidade e que não estão em conformidade para cada pacote de conformidade no nível de conta.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das Regiões em que o agregador selecionado está configurado para coletar dados.
**Os dez principais pacotes de conformidade no nível organizacional de acordo com regras que não estão em conformidade**
Exibe um gráfico de barras horizontais comparando até dez pacotes de conformidade no nível organizacional do agregador selecionado em ordem decrescente pelo número de regras que não estão em conformidade. Passe o mouse sobre o gráfico para ver a porcentagem de regras que estão em conformidade e que não estão em conformidade em cada pacote de conformidade no nível organizacional.
Os dados exibidos dependem das configurações do gravador de configuração de cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados.
**As dez principais contas por regras que não estão em conformidade em todos os pacotes de conformidade**
*As dez principais contas por regras que não estão em conformidade em todos os pacotes de conformidade* exibem um gráfico de barras horizontais comparando até dez contas do agregador selecionado em ordem decrescente pelo número de regras que não estão em conformidade em todos os seus pacotes de conformidade. Passe o mouse sobre o gráfico para ver o número exato de regras que não estão em conformidade em cada conta.
Os dados exibidos dependem das configurações do gravador de configuração de cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados.
## Painel de Inventário
Visualize painéis de inventário automatizados usando widgets que resumem insights sobre dados de configuração de recursos em seu agregador.
**Os 10 principais tipos de recursos por contagem de recursos**
Exibe um gráfico de barras horizontais comparando até 10 tipos de recursos do agregador selecionado em ordem decrescente por contagem de recursos. Passe o mouse sobre o gráfico para ver o número exato de recursos para cada tipo de recurso.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados.
**Contagem de recursos por região**
Exibe um gráfico de barras horizontais comparando até 10 regiões nas quais o agregador selecionado coleta dados em ordem decrescente por contagem de recursos. Passe o mouse sobre o gráfico para ver o número exato de recursos para cada região.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado.
**As 10 principais contas por contagem de recursos**
Exibe um gráfico de barras horizontais comparando até 10 contas do agregador selecionado em ordem decrescente por contagem de recursos. Passe o mouse sobre o gráfico para ver o número exato de recursos para cada tipo de recurso.
Os dados exibidos dependem das configurações do gravador de configuração de cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados.
**Contagem de recursos por tipos de recursos de serviço do Amazon EC2**
Exibe um gráfico de barras horizontais comparando os tipos de recursos do Amazon EC2 do agregador selecionado em ordem decrescente por contagem de recursos. Passe o mouse sobre o gráfico para ver o número exato de recursos para cada tipo de recurso do Amazon EC2.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados. Para usar esse gráfico, você deve configurar o gravador para registrar os tipos de recursos do Amazon EC2. Para obter mais informações, consulte [Selecionar quais AWS Config registros de recursos](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Os 10 principais tipos de instância do EC2 usados**
Exibe um gráfico de barras horizontais comparando até 10 tipos de instância do Amazon EC2 do agregador selecionado em ordem decrescente por uso. Passe o mouse sobre o gráfico para ver o uso de cada tipo de instância do EC2.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados. Para usar esse gráfico, você deve configurar o gravador para registrar o tipo de recurso da instância EC2. Para obter mais informações, consulte [AWS Recursos de recodificação](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Contagens de volume do EBS por tipo e tamanho de volume**
Exibe um gráfico de barras verticais comparando os volumes do EBS do agregador selecionado por contagem de recursos. Passe o mouse sobre o gráfico para ver o detalhamento da contagem e do tamanho de cada tipo de volume do EBS.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados. Para usar esse gráfico, você deve configurar o gravador para registrar o tipo de recurso de volume EC2. Para obter mais informações, consulte [Selecionar quais AWS Config registros de recursos](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
**Número de instâncias do EC2 em execução versus interrompidas por tipo**
Exibe um gráfico de barras horizontais comparando os tipos de instância do EC2 do agregador selecionado que estão em execução com as instâncias do EC2 que foram interrompidas por tipo de instância. Passe o mouse sobre o gráfico para ver o número exato de instâncias do EC2 interrompidas e em execução para cada tipo.
Os dados exibidos dependem das configurações do gravador de configuração para cada conta no agregador selecionado e das regiões em que o agregador selecionado está configurado para coletar dados. Para usar esse gráfico, você deve configurar o gravador para registrar o tipo de recurso da instância EC2. Para obter mais informações, consulte [AWS Recursos de recodificação](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
# Criar agregadores para o AWS Config
Você pode usar o console do AWS Config ou a AWS CLI para criar seus agregadores. No AWS Config, é possível escolher **Adicionar IDs de contas individuais** ou **Adicionar minha organização** de onde você deseja agregar dados. Para a AWS CLI, existem dois procedimentos diferentes.
------
#### [ Creating Aggregators (Console) ]
Na página **Agregador**, você pode criar um agregador especificando os IDs da conta de origem ou a organização e as regiões das quais você deseja agregar dados.
1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Navegue até a página **Agregadores** e escolha **Criar agregador**.
1. **Permitir replicação de dados** concede permissão para o AWS Config para replicar dados das contas de origem em uma conta de agregador.
Escolha **Permitir AWS Config para replicar dados das contas de origem para uma conta de agregador. Marque esta caixa de seleção para continuar adicionando um agregador**.
1. Em **Nome do agregador**, digite o nome do seu agregador.
O nome do agregador deve ser um nome exclusivo com um máximo de 64 caracteres alfanuméricos. O nome pode conter hifens e sublinhados.
1. Em **Selecionar contas de origem**, escolha **Adicionar IDs de contas individuais** ou **Adicionar minha organização** de onde você deseja agregar os dados.
**nota**
A autorização é necessária ao usar **Adicionar IDs de contas individuais** para selecionar contas de origem.
+ Se escolher **Adicionar IDs de contas individuais**, você poderá adicionar IDs de contas individuais a uma conta de agregador.
1. Escolha **Adicionar contas de origem** para adicionar IDs de conta.
1. Escolha **Adicionar IDs de Conta da AWS** para adicionar manualmente IDs de Conta da AWS separados por vírgula. Se você quiser agregar dados da conta atual, digite o ID da conta.
OU
Escolha **Fazer upload de um arquivo** para fazer upload de um arquivo (.txt ou .csv) de IDs da Conta da AWS separados por vírgulas.
1. Escolha **Adicionar contas de origem** para confirmar sua seleção.
+ Se escolher **Adicionar minha organização**, você poderá adicionar todas as contas da sua organização a uma conta de agregador.
**nota**
É necessário estar conectado à conta de gerenciamento ou à conta de administrador delegado e todos os recursos devem estar habilitados em sua organização. Se o chamador for uma conta de gerenciamento, o AWS Config chama a API `EnableAwsServiceAccess` para [permitir a integração](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) entre AWS Config e AWS Organizations. Se o chamador for um administrador delegado registrado, o AWS Config chama a API `ListDelegatedAdministrators` para verificar se o chamador é um administrador delegado válido.
Certifique-se de que a conta de gerenciamento registre o administrador delegado para nome da entidade principal de serviço do AWS Config (config.amazonaws.com) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte [Registrando um administrador delegado para AWS Config](aggregated-register-delegated-administrator.md).
Você precisa atribuir um perfil do IAM para permitir que o AWS Config chame APIs somente leitura para sua organização.
1. Escolha **Selecione uma função de sua conta** para selecionar um perfil do IAM existente.
**nota**
No console do IAM, anexe a política gerenciada pelo `AWSConfigRoleForOrganizations` ao seu perfil do IAM. A associação dessa política permite que o AWS Config chame as APIs `DescribeOrganization`, `ListAWSServiceAccessForOrganization` e `ListAccounts` do AWS Organizations. Por padrão, `config.amazonaws.com` é automaticamente especificado como uma entidade confiável.
1. Escolha **Criar uma função** e digite o nome do perfil do IAM para criar um perfil do IAM.
1. Em **Regiões**, escolha as regiões para as quais você deseja agregar dados.
+ Selecione uma região, várias regiões ou todas as Regiões da AWS.
+ Selecione **Incluir futuras Regiões da AWS** para agregar dados de todas as futuras Regiões da AWS em que a agregação de dados de várias regiões de várias contas está habilitada.
1. Escolha **Salvar**. O AWS Config exibe o agregador.
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. Abra um prompt de comando ou uma janela do terminal.
1. Digite o comando a seguir para criar um agregador chamado **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
Para `account-aggregation-sources`, insira um dos itens a seguir.
+ Uma lista separada por vírgulas dos IDs da Conta da AWS aos quais você deseja agregar dados. Coloque os IDs da conta entre colchetes e não se esqueça de escapar as aspas (por exemplo: )., `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
+ Você também pode fazer upload de um arquivo JSON dos IDs da Conta da AWS separados por vírgula. Faça upload do arquivo usando a seguinte sintaxe: `--account-aggregation-sources MyFilePath/MyFile.json`
O arquivo JSON deve estar no seguinte formato:
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. Pressione Enter para executar o comando.
Você deve ver uma saída semelhante a:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
Antes de começar este procedimento, você precisa estar conectado à conta principal ou a um administrador delegado registrado, e todos os recursos devem estar habilitados na sua organização.
**nota**
Certifique-se de que a conta de gerenciamento registre um administrador delegado com os dois nomes da entidade principal de serviço do AWS Config (`config.amazonaws.com` e `config-multiaccountsetup.amazonaws.com`) antes que o administrador delegado crie um agregador. Para registrar um administrador delegado, consulte [Registrando um administrador delegado para AWS Config](aggregated-register-delegated-administrator.md).
1. Abra um prompt de comando ou uma janela do terminal.
1. Se não tiver criado um perfil do IAM para o agregador do AWS Config, digite o seguinte comando:
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**nota**
Copie o nome do recurso da Amazon (ARN) desse perfil do IAM a ser usado ao criar seu agregador do AWS Config. É possível encontrar o ARN no objeto de resposta.
1. Se não tiver anexado uma política ao perfil do IAM, anexe a política gerenciada [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) ou digite o seguinte comando:
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. Digite o comando a seguir para criar um agregador chamado **MyAggregator**.
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. Pressione Enter para executar o comando.
Você deve ver uma saída semelhante a:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Registrando um administrador delegado para AWS Config
Administradores delegados são contas dentro de uma determinada AWS organização que recebem privilégios administrativos adicionais para um serviço específico. AWS Para obter mais informações, consulte [Administrador delegado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html), no *Guia de usuário do AWS Organizations *. Você deve usar a AWS CLI para registrar um administrador delegado.
**Registro de um administrador delegado**
1. Faça login com as credenciais da conta de gerenciamento.
1. Abra um prompt de comando ou uma janela do terminal.
1. Insira o comando a seguir para habilitar o acesso ao serviço como administrador delegado da sua organização para implantar e gerenciar AWS Config regras e pacotes de conformidade em toda a organização:
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. Insira o comando a seguir para habilitar o acesso ao serviço como administrador delegado da sua organização para agregar AWS Config dados em toda a organização:
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. Para conferir se a habilitação do acesso ao serviço foi concluída, digite o comando a seguir e pressione Enter para executar o comando.
```
aws organizations list-aws-service-access-for-organization
```
Você deve ver uma saída semelhante a:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. Depois, digite o comando a seguir para registrar uma conta de membro como administrador delegado para AWS Config.
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
and
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. Para conferir se o registro do administrador delegado foi concluído, digite o comando a seguir na conta de gerenciamento e pressione Enter para executar o comando.
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
and
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
Você deve ver uma saída semelhante a:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# Editar agregadores para o AWS Config
Você pode usar o console do AWS Config ou a AWS CLI para editar seus agregadores.
------
#### [ Editing Aggregators (Console) ]
1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Navegue até a página **Agregador** e escolha o nome do agregador.
1. Escolha **Ações** e, em seguida, **Editar**.
1. Use as seções na página **Editar agregador** para alterar as contas de origem, os perfis do IAM ou as regiões para o agregador.
**nota**
Você não pode alterar o tipo de fonte de contas individuais para organização e vice-versa.
1. Escolha **Salvar**.
------
#### [ Editing Aggregators (AWS CLI) ]
1. Você pode usar o comando `put-configuration-aggregator` para atualizar ou editar um agregador de configuração.
Digite o seguinte comando para adicionar um novo ID de conta a **MyAggregator**:
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:
**Para contas individuais**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
OU
**Para uma organização**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Excluir agregadores para o AWS Config
Use o console do AWS Config ou a AWS CLI para excluir seus agregadores.
------
#### [ Deleting Aggregators (Console) ]
1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home).
1. Navegue até a página **Agregador** e escolha o nome do agregador.
1. Escolha **Ações** e, em seguida, escolha **Excluir**.
Uma mensagem de aviso é exibida. A exclusão de um agregador resultará na perda de todos os dados agregados. Você não pode recuperar esses dados, mas os dados nas contas de origem não são afetados.
1. Escolha **Excluir** para confirmar sua seleção.
------
#### [ Deleting Aggregators (AWS CLI) ]
Digite o comando:
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
Se for bem sucedido, o comando será executado sem saída adicional.
------
# Autorizando contas agregadoras a coletar dados de AWS Config configuração e conformidade
A *autorização* se refere às permissões que você concede a uma conta agregadora e a uma região para coletar seus dados AWS Config de configuração e conformidade. A autorização não será necessária se você estiver agregando contas de origem que fazem parte do AWS Organizations. Você pode usar o AWS Config console ou o AWS CLI para autorizar contas agregadoras.
**Topics**
+ [
## Considerações
](#aggregated-add-authorization-considerations)
+ [
## Adição de autorização
](#aggregated-add-authorization-procedure)
## Considerações
**Há dois tipos de agregadores: agregador de contas individuais e agregador de organização**
Para um agregador de contas individuais, a autorização é necessária para todas as contas de origem e regiões que você deseja incluir, incluindo contas externas e regiões e contas de membros e regiões da organização.
Para um agregador de organização, a autorização não é necessária para regiões de contas de membros da organização, pois a autorização é integrada ao AWS Organizations serviço.
**Os agregadores não são ativados automaticamente AWS Config em seu nome**
AWS Config precisa ser habilitado na conta de origem e na região para qualquer tipo de agregador, para que AWS Config os dados sejam gerados na conta de origem e na região.
## Adição de autorização
------
#### [ Adding Authorization (Console) ]
Você pode adicionar autorização para conceder permissão às contas e regiões do agregador para coletar dados de AWS Config configuração e conformidade.
1. Faça login no Console de gerenciamento da AWS e abra o AWS Config console em [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Navegue até a página **Autorizações** e escolha **Adicionar autorização**.
1. Para **Conta de agregador**, digite o ID de 12 dígitos da conta de agregador.
1. Para **Região do agregador**, escolha as Regiões da AWS em que a conta de agregador poderá coletar dados de configuração e conformidade da AWS .
1. Escolha **Adicionar autorização** para confirmar sua seleção.
AWS Config exibe uma conta agregadora, região e status de autorização.
**nota**
Você também pode adicionar autorizações às contas e regiões do agregador de forma programática usando CloudFormation modelos de amostra. Consulte mais informações em [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html) no *Guia de Usuário CloudFormation *.
------
#### [ Authorizing a Pending Request (Console) ]
Se houver uma solicitação de autorização pendente para uma conta de agregador existente, você verá o status da solicitação na página **Autorizações**. Você pode autorizar uma solicitação pendente nesta página.
1. Escolha a conta agregadora que você deseja autorizar e, em seguida, escolha **Autorizar**.
Uma mensagem de confirmação é exibida para confirmar que você deseja conceder permissão à conta agregadora para coletar AWS Config dados dessa conta.
1. Escolha **Autorizar** novamente para confirmar que você deseja conceder permissão à conta de agregador.
O status da autorização muda de **Solicitando autorização** para **Autorizado**.
**Período de aprovação da autorização**
A aprovação da autorização é necessária para adicionar contas de origem a um agregador de contas individuais. Uma solicitação de aprovação de autorização pendente ficará disponível por sete dias após um agregador de contas individual adicionar uma conta de origem.
------
#### [ Adding Authorization (AWS CLI) ]
1. Abra um prompt de comando ou uma janela do terminal.
1. Digite o comando:
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. Você deve ver uma saída semelhante a:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# Excluindo a autorização para que contas agregadoras coletem dados de AWS Config configuração e conformidade
A *autorização* se refere às permissões que você concede a uma conta agregadora e a uma região para coletar seus dados AWS Config de configuração e conformidade. A autorização não será necessária se você estiver agregando contas de origem que fazem parte do AWS Organizations. Você pode usar o AWS Config console ou o AWS CLI para excluir autorizações.
**Topics**
+ [
## Considerações
](#aggregated-delete-authorization-considerations)
+ [
## Exclusão de autorização
](#aaggregated-delete-authorization-procedure)
## Considerações
**Há dois tipos de agregadores: agregador de contas individuais e agregador de organização**
Para um agregador de contas individuais, a autorização é necessária para todas as contas de origem e regiões que você deseja incluir, incluindo contas externas e regiões e contas de membros e regiões da organização.
Para um agregador de organização, a autorização não é necessária para regiões de contas de membros da organização, pois a autorização é integrada ao AWS Organizations serviço.
**Os agregadores não são ativados automaticamente AWS Config em seu nome**
AWS Config precisa ser habilitado na conta de origem e na região para qualquer tipo de agregador, para que AWS Config os dados sejam gerados na conta de origem e na região.
## Exclusão de autorização
------
#### [ Deleting Authorization (Console) ]
1. Faça login no Console de gerenciamento da AWS e abra o AWS Config console em [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Para a conta de agregador da qual você quer excluir a autorização, escolha **Excluir**.
Uma mensagem de aviso é exibida. Quando você exclui essa autorização, AWS Config os dados não serão mais compartilhados com a conta agregadora.
1. Escolha **Excluir** para confirmar sua seleção.
A conta do agregador agora é excluída.
------
#### [ Deleting Authorization (AWS CLI) ]
Digite o comando:
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
Se for bem sucedido, o comando será executado sem saída adicional.
------
# Visualizar agregadores para o AWS Config
Você pode usar o console do AWS Config ou a AWS CLI para visualizar seus agregadores.
------
#### [ Viewing Aggregators (Console) ]
Para visualizar os pacotes de conformidade no Console de gerenciamento da AWS, consulte [Painel do Agregador.](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)
------
#### [ Viewing Aggregators (AWS CLI) ]
1. Digite o comando:
```
aws configservice describe-configuration-aggregators
```
1. Dependendo da sua conta de origem, você deverá ver uma saída semelhante à seguinte:
**Para contas individuais**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
OU
**Para uma organização**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# Solução de problemas para agregação de dados multirregional de várias contas para AWS Config
AWS Config pode não agregar dados das contas de origem por um dos seguintes motivos:
****
| Se isso acontecer | Faça o seguinte |
| --- | --- |
| AWS Config não está habilitado na conta de origem para contas dentro de uma organização. | Ative AWS Config a conta de origem e autorize a conta agregadora a coletar dados. |
| A autorização não é concedida a uma conta de agregador. | Faça login na conta de origem e conceda autorização à conta agregadora para coletar AWS Config dados. |
| Pode haver um problema temporário que impede a agregação de dados. | A agregação de dados está sujeita a atrasos. Aguarde alguns minutos. |
AWS Config pode não agregar dados de uma organização por um dos seguintes motivos:
****
| Se isso acontecer | Faça o seguinte |
| --- | --- |
| AWS Config não consegue acessar os detalhes da sua organização devido à função inválida do IAM. | Crie um perfil do IAM ou selecione um válido na lista de perfis do IAM. Se a função do IAM for inválida por mais de 7 dias, AWS Config excluirá os dados de toda a organização. |
| AWS Config o acesso ao serviço está desativado em sua organização. | Você pode ativar a integração entre AWS Config e AWS Organizations por meio da EnableAWSServiceAccess API. Se você escolher Adicionar minha organização no console, AWS Config habilitará automaticamente a integração entre AWS Config AWS Organizations e. |
| AWS Config não consegue acessar os detalhes da sua organização porque todos os recursos não estão habilitados na sua organização. | [Ative todos os recursos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no AWS Organizations console. |
| As alterações organizacionais, como: adicionar uma conta, remover uma conta, habilitar o acesso ao serviço e desabilitar o acesso ao serviço, não são atualizadas imediatamente nas regiões do Oriente Médio (Bahrein) e Ásia-Pacífico (Hong Kong). | As alterações organizacionais estão sujeitas a um atraso de duas horas. Aguarde duas horas para ver todas as alterações na organização. |