Etapa 1: iniciar a AWS Config gravação Etapa 2: Pré-requisitos para usar um pacote de conformidade com remediação Etapa 2: Pré-requisitos para usar um pacote de conformidade com uma ou mais regras AWS Config Etapa 2: Pré-requisitos para pacotes de conformidade organizacional

Pré-requisitos

Antes de implantar seu pacote de conformidade, ative a gravação. AWS Config

Tópicos

Etapa 1: iniciar a AWS Config gravação
Etapa 2: Pré-requisitos para usar um pacote de conformidade com remediação
Etapa 2: Pré-requisitos para usar um pacote de conformidade com uma ou mais regras AWS Config
Etapa 2: Pré-requisitos para pacotes de conformidade organizacional

Etapa 1: iniciar a AWS Config gravação

Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.
Selecione Configurações no painel de navegação.
Para iniciar a gravação, em Recording is off (A gravação está desativada), selecione Turn on (Ativar). Quando solicitado, escolha Continuar.

Etapa 2: Pré-requisitos para usar um pacote de conformidade com remediação

Antes de implantar pacotes de conformidade usando modelos de amostra com remediação, você deve criar recursos apropriados, como automação, assumir funções e outros AWS recursos com base em sua meta de remediação.

Se tiver uma função de automação existente que está usando para correção usando documentos SSM, você poderá fornecer diretamente o ARN dessa função. Se tiver recursos, você poderá fornecê-los no modelo.

nota

Ao implantar um pacote de conformidade com correção em uma organização, o ID da conta de gerenciamento da organização precisa ser especificado. Caso contrário, durante a implantação do pacote de conformidade organizacional, o AWS Config substituirá automaticamente o ID da conta de gerenciamento pelo ID da conta de membro.

AWS Config não oferece suporte a funções AWS CloudFormation intrínsecas para a função de execução de automação. É necessário fornecer o ARN exato da função como uma string.

Para obter mais informações sobre como passar o ARN exato, consulte Modelos de exemplo de pacote de conformidade. Ao usar modelos de exemplo, atualize o ID da sua conta e o ID da conta de gerenciamento da organização.

Etapa 2: Pré-requisitos para usar um pacote de conformidade com uma ou mais regras AWS Config

Antes de implantar um pacote de conformidade com uma ou mais AWS Config regras personalizadas, crie recursos apropriados, como a AWS Lambda função e a função de execução correspondente.

Se você tiver uma AWS Config regra personalizada existente, poderá fornecer diretamente a AWS Lambda função ARN of para criar outra instância dessa regra personalizada como parte do pacote.

Se você não tiver uma AWS Config regra personalizada existente, poderá criar uma AWS Lambda função e usar o ARN da função Lambda. Para ter mais informações, consulte AWS Config Regras personalizadas.

Se sua AWS Lambda função estiver presente em outra Conta da AWS, você poderá criar AWS Config regras com a autorização apropriada da AWS Lambda função entre contas. Para obter mais informações, consulte Como gerenciar AWS Config regras de forma centralizada em várias postagens Contas da AWS do blog.

Same account bucket policy

AWS Config Para poder armazenar artefatos do pacote de conformidade, você precisará fornecer um bucket do Amazon S3 e adicionar as seguintes permissões. Para obter mais informações sobre como nomear seu bucket, consulte Regras de nomeação de bucket.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::delivery-bucket-name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

Cross-account bucket policy


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
            "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Sid": " AWSConfigConformsBucketReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
    }
  ]
}

nota

Ao implantar pacotes de conformidade entre contas, o nome do bucket Amazon S3 de entrega deve começar com awsconfigconforms.

Etapa 2: Pré-requisitos para pacotes de conformidade organizacional

Especifique um ARN de função de execução de automação para essa correção no modelo se o modelo de entrada tiver uma configuração de correção automática. Verifique se existe uma função com o nome especificado em todas as contas (gerenciamento e membro) de uma organização. Você deve criar essa função em todas as contas antes de chamar PutOrganizationConformancePack. Você pode criar essa função manualmente ou usando os AWS CloudFormation conjuntos de pilhas para criar essa função em todas as contas.

Se seu modelo usa uma função AWS CloudFormation intrínseca Fn::ImportValue para importar uma variável específica, essa variável deve ser definida como uma Export Value em todas as contas dos membros dessa organização.

Para AWS Config regras personalizadas, consulte Como gerenciar centralmente AWS Config as regras em vários Contas da AWS blogs para configurar as permissões adequadas.

Política de bucket da organização:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                 "s3:GetObject",
                 "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        },
        {
            "Sid": "AllowGetBucketAcl",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        }
    ]
}

nota

Ao implantar pacotes de conformidade em uma organização, o nome do bucket do Amazon S3 de entrega deve começar com awsconfigconforms.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Painel de controle do pacote de conformidade

Verificações de processo