本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 多账户多区域数据聚合 AWS Config
聚合器是一种从以下来源收集 AWS Config 配置和合规性数据的 AWS Config 资源类型:
+ 多个账户和多个 AWS 区域。
+ 单个账户和多个 AWS 区域。
+ 一个组织中的一个组织 AWS Organizations 以及该组织中所有已 AWS Config 启用的账户。
使用聚合器查看在 AWS Config中记录的资源配置和合规性数据。下图显示了聚合器如何从多个账户和地区收集 AWS Config 数据。
![\[该图像描绘了 AWS Config 数据聚合过程。它涉及从多个来源账户和 AWS 地区收集数据,汇总资源配置信息和合规性数据,并提供汇总视图以帮助管理。\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## 应用场景
+ **合规性监控**:您可以聚合合规性数据,以评估组织或不同账户和区域的整体合规状况。
+ **变更跟踪**:您可以跟踪组织内或不同账户和地区的资源随时间发生的变化。
+ **资源关系**:您可以分析整个组织或不同账户和区域的资源依赖项和关系。
**注意**
聚合器通过将数据从源账户复制到聚合器账户,提供源账户和聚合器有权查看的区域的*只读视图*。聚合器不提供对源账户或区域的可变访问权限。例如,这意味着您不能通过聚合器部署规则,也不能通过聚合器将快照文件推送到源账户或区域。
使用聚合器不会产生任何额外费用。
## 术语
*源账户*是您要 AWS 账户 从中汇总 AWS Config 资源配置和合规性数据的账户。源账户可以是 AWS Organizations中的个人账户或组织。您可以单独提供源帐户,也可以通过它们进行检索 AWS Organizations。
*来源区域*是您要从中汇总 AWS Config 配置和合规性数据的 AWS 区域。
*聚合器账户* 是您在其中创建聚合器的账户。
*授权*是指您向聚合器账户和地区授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。
*服务相关聚合器与特定聚合器*相关联。 AWS 服务范围内的配置和合规性数据由相关服务设置。
## 区域支持
目前,多账户多区域数据聚合在以下区域中受支持:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/aggregate-data.html)
# 在聚合器控制面板中查看合规性和库存数据 AWS Config
**聚合器**页面上的控制面板显示您的聚合 AWS 资源的配置数据。这些数据概述了您的规则、合规包及其合规状态。
控制面板提供资源的总 AWS 资源数量。资源类型和源账户按最大数量的资源排列。还提供合规和不合规规则以及合规包的计数。不合规规则按不合规资源的最大数量进行排名。不合规的合规包和源账户按不合规规则的最大数量进行排名。
设置完成后 AWS Config,它开始将来自指定源帐户的数据聚合到聚合器中。显示规则的合规性状态可能需要几分钟时间。
## 使用聚合器控制面板
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 导航到**聚合器**页面。您可以查看:
+ 您的规则及其合规性状态。
+ 您的合规包及其合规性状态。
+ 您的 AWS 资源及其配置数据。
1.
从控制面板中选择聚合器。按聚合器名称筛选聚合器。您可以查看以下小组件:
+ **资源清单**
按资源计数降序查看所选聚合器中排名前 10 的资源类型。选择所选聚合器的资源总数(显示在**资源清单**后的括号中),以转到聚合**资源**页面,您可以在此页面上查看聚合器的所有资源。或者,也可以在小组件中选择一种资源类型,以转到使用指定资源类型筛选的聚合**资源**页面。
+ **按资源计数列出的账户**
按资源计数降序查看所选聚合器中排名前 5 的资源类型。在小组件中选择一个账户,以进入使用指定账户筛选的**资源**页面。
+ **不合规规则**
按照不合规资源的数量降序查看所选聚合器中排名前 5 的不合规规则。在小组件中选择一条规则,以进入指定规则的详细信息页面。选择**查看所有不合规规则**,以转至聚合**规则**页面,您可以在此页面上查看聚合器的所有规则。
+ **按不合规规则列出的账户**
按照不合规规则的数量降序查看所选聚合器中排名前 5 的账户。在小组件中选择一个账户,以进入聚合**规则**页面,您可以在此页面上查看使用指定账户筛选的聚合器的所有规则。
+ **按不合规的合规包列出的账户**
按照不合规的合规包数量降序查看所选聚合器中排名前 5 的账户。在小组件中选择一个账户,以进入聚合**规则**页面,您可以在此页面上查看使用指定账户筛选的聚合器的所有合规包。
1. 在左侧导航窗格中,从下拉菜单中选择下列选项之一:
+ **合规性控制面板**
使用汇总聚合器内资源合规性见解的小组件查看自动合规性控制面板。您可以查看数据,例如按不合规资源列出的排名前 10 的资源类型,以及按不合规规则列出的排名前 10 的账户级合规包。有关这些图形和图表的信息,请参阅[合规性控制面板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard)。
+ **一致性包**
查看在聚合器中创建并链接到不同 AWS 账户 内容的所有一致性包。**合规包**页面显示一个表,其中列出每个合规包的名称、区域、账户 ID 和合规性状态。您可以在此页面中选择合规包,还可以**查看详细信息**,以了解有关其规则和资源及其合规性状态的更多信息。
+ **Rules**
查看在聚合器中创建并关联到不同 AWS 账户的所有规则。**规则**页面显示一个表,其中列出每条规则的名称、合规性状态、区域和账户。您可以在此页面中选择规则,还可以**查看详细信息**,以了解有关其聚合器、区域、账户 ID 和范围内资源的信息。
+ **清单控制面板**
使用汇总聚合器内资源配置数据见解的小组件查看自动清单控制面板。您可以查看一些数据,例如,按资源计数排名前 10 的资源类型,以及按资源计数排名前 10 的账户。有关这些图形和图表的信息,请参阅[清单控制面板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard)。
+ **资源**
查看在聚合器中记录并关联到不同 AWS 账户的所有资源。在**资源**页面中选择一个资源,然后选择**查看详细信息**,以查看其详细信息、与之关联的规则,以及当前的资源配置。您还可以查看有关资源的信息,例如其聚合器、区域、账户 ID、资源名称、资源类型和资源 ID。
+ **授权**
查看并管理当前已授权或待授权的所有账户。在**授权**页面中,选择**添加授权**以提供对其他账户的访问权限。选择**删除授权**以撤消账户 ID 的访问权限。
**注意**
**故障排查**
由于以下原因,您可能会在聚合视图中看到**从所有源账户和区域收集的数据不完整**消息:
正在传输不合规的 AWS Config 规则和 AWS 资源配置数据。
AWS Config 找不到与您应用的过滤器相匹配的规则。选择适当的账户或区域,然后重试。
您可能会在聚合视图中看到以下消息:**从您的组织收集的数据不完整。您只能查看 24 小时的以下数据。**显示此消息是由于以下原因:
AWS Config 由于 IAM 角色无效,无法访问您的组织详细信息。如果 IAM 角色无效的时间超过 24 小时, AWS Config 将会删除整个组织的数据。
AWS Config 您的组织中已禁用服务访问权限。
## 合规性控制面板
使用汇总聚合器内资源合规性见解的小组件查看自动合规性控制面板。此控制面板只显示具有合规性结果的规则。
**注意**
**限制**
合规性控制面板中的见解由的高级查询功能提供 AWS Config,此功能不支持嵌套结构或解压缩嵌套数组。这意味着合规性控制面板显示的是资源的总体合规性,而不是报告资源的每条特定规则的合规性状态。
例如,如果您检查资源类型 `AWS::Config::ResourceCompliance` 的配置项(CI),控制面板将显示报告该资源的所有规则的合规性结果。如果有 10 条规则报告该资源,其中 9 条为 COMPLIANT,只有 1 条为 NON\$1COMPLIANT,则该资源的总体合规性将为 NON\$1COMPLIANT。
**按资源列出的合规性摘要**
显示一个饼图,将选定聚合器的合规资源数量与不合规资源的数量进行比较。将鼠标悬停在图表上可查看合规资源和不合规资源的确切数量和百分比。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按不合规资源列出的排名前 10 的资源类型**
显示一个水平条形图,按不合规资源数量降序比较选定聚合器中最多 10 种资源类型。将鼠标悬停在图表上,可查看每种资源类型不合规资源的确切数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按不合规资源列出的排名前 10 的账户**
*按不合规资源列出的排名前 10 的账户*显示一个水平条形图,按不合规资源数量降序比较选定聚合器中最多 10 个账户。将鼠标悬停在图表上,可查看每个账户不合规资源的确切数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按不合规资源列出的排名前 10 的区域**
显示一个水平条形图,按不合规资源数量降序比较选定聚合器收集数据的最多 10 个区域。将鼠标悬停在图表上,可查看每个区域不合规资源的确切数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置。
**按不合规规则列出的排名前 10 的账户级别合规包**
显示一个水平条形图,按不合规规则数量降序比较选定聚合器中最多 10 个账户级别合规包。将鼠标悬停在图表上,可查看每个账户级别合规包的合规规则和不合规规则百分比。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按不合规规则列出的排名前 10 的组织级别合规包**
显示一个水平条形图,按不合规规则数量降序比较选定聚合器中最多 10 个组织级别合规包。将鼠标悬停在图表上,可查看每个组织级别合规包的合规规则和不合规规则百分比。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按合规包中不合规规则列出的排名前 10 的账户**
*按合规包中不合规规则列出的排名前 10 的账户*显示一个水平条形图,按所有合规包中不合规资源数量降序比较选定聚合器中最多 10 个账户。将鼠标悬停在图表上,可查看每个账户中不合规规则的确切数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
## 清单控制面板
使用汇总聚合器内资源配置数据见解的小组件查看自动清单控制面板。
**按资源计数列出的排名前 10 的资源类型**
显示一个水平条形图,按资源计数降序比较选定聚合器中最多 10 种资源类型。将鼠标悬停在图表上,可查看每种资源类型的确切资源数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按区域列出的资源计数**
显示一个水平条形图,按资源计数降序比较选定聚合器收集数据的最多 10 个区域。将鼠标悬停在图表上,可查看每个区域的确切资源数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置。
**按资源计数列出的排名前 10 的账户**
显示一个水平条形图,按资源计数降序比较选定聚合器中最多 10 个账户。将鼠标悬停在图表上,可查看每种资源类型的确切资源数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。
**按 Amazon EC2 服务资源类型列出的资源计数**
显示一个水平条形图,按资源计数降序比较选定聚合器中的 Amazon EC2 资源类型。将鼠标悬停在图表上,可查看每种 Amazon EC2 资源类型的确切资源数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。要使用此图表,您必须将记录器配置为记录 Amazon EC2 资源类型。有关更多信息,请参阅[选择 AWS Config 记录哪些资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**使用的排名前 10 的 EC2 实例类型**
显示一个水平条形图,按使用情况降序比较选定聚合器中最多 10 个 Amazon EC2 实例类型。将鼠标悬停在图表上,可查看每种 EC2 实例类型的使用情况。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。要使用此图表,您必须将记录器配置为记录 EC2 实例资源类型。有关更多信息,请参阅[重新编码 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**按卷类型和大小列出的 EBS 卷计数**
显示一个垂直条形图,按资源计数比较选定聚合器中的 EBS 卷。将鼠标悬停在图表上,可查看每种类型的 EBS 卷的计数和大小明细。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。要使用此图表,您必须将记录器配置为记录 EC2 卷资源类型。有关更多信息,请参阅[选择 AWS Config 记录哪些资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**按类型列出的正在运行的 EC2 实例数量与已停止的 EC2 实例数量**
显示一个水平条形图,按实例类型比较选定聚合器中正在运行的 EC2 实例类型与已停止的 EC2 实例。将鼠标悬停在图表上,可查看每种类型已停止的 EC2 实例和正在运行的 EC2 实例的确切数量。
显示的数据取决于所选聚合器中每个账户的配置记录器设置,以及所选聚合器配置为收集数据的区域。要使用此图表,您必须将记录器配置为记录 EC2 实例资源类型。有关更多信息,请参阅[重新编码 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
# 为 AWS Config 创建聚合器
您可以使用 AWS Config 控制台或 AWS CLI 创建聚合器。您可以从 AWS Config 中选择**添加单个账户 ID** 或**添加我的组织**来聚合数据。对于,AWS CLI有两种不同的程序。
------
#### [ Creating Aggregators (Console) ]
在**聚合器**页面上,通过指定要从中聚合数据的源账户 ID 或组织和区域来创建聚合器。
1. 登录到,AWS 管理控制台然后通过以下网址打开 AWS Config 控制台:[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)。
1. 导航到**聚合器**页面,然后选择**创建聚合器**。
1. **允许数据复制**,授予 AWS Config 权限,使其可将数据从源账户复制到聚合器账户中。
选择**允许 AWS Config 将数据从源账户复制到聚合器账户。您须选中此复选框,才能继续添加聚合器**。
1. 对于**聚合器名称**,键入聚合器的名称。
聚合器名称必须是唯一的名称,最多有 64 个字母数字字符。此名称可以包含连字符和下划线。
1. 对于**选择源账户**,选择**添加单个账户 ID** 或**添加我的组织**来聚合数据。
**注意**
使用**添加单个账户 ID** 来选择源账户时,需要获得授权。
+ 如果您选择 **Add individual account IDs**,则可以为聚合器账户添加个人账户 ID。
1. 选择 **Add source accounts** 以添加账户 ID。
1. 选择**添加 AWS 账户 ID** 以手动添加逗号分隔的 AWS 账户 ID。如果您想要从当前账户中聚合数据,请键入账户的账户 ID。
或
选择**上传文件**以上传逗号分隔的 AWS 账户 ID 文件(.txt or .csv)。
1. 选择 **Add source accounts** 以确认您的选择。
+ 如果您选择 **Add my organization**,则可以将您组织中的所有账户添加到聚合器账户。
**注意**
您必须登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。如果调用者是管理账户,AWS Config 会调用 `EnableAwsServiceAccess` API 以[启用 AWS Config 和 AWS Organizations 之间的集成](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。如果调用者是注册的委派管理员,AWS Config 会调用 `ListDelegatedAdministrators` API 来验证调用者是否是有效的委派管理员。
在委派管理员创建聚合器之前,请确保管理账户为委派管理员注册了 AWS Config 服务主体名称(config.amazonaws.com)。要注册委派管理员,请参阅 [为注册委派管理员 AWS Config](aggregated-register-delegated-administrator.md)
您必须分配 IAM 角色以允许 AWS Config 为您的组织调用只读 API。
1. 选择**从您的账户选择一个角色**,以选择现有 IAM 角色。
**注意**
在 IAM 控制台中,将 `AWSConfigRoleForOrganizations` 托管策略附加到您的 IAM 角色。附加此策略将允许 AWS Config 调用 AWS Organizations、`DescribeOrganization``ListAWSServiceAccessForOrganization` 和 `ListAccounts` API。默认情况下,`config.amazonaws.com` 会被自动指定为可信实体。
1. 或者,选择**创建角色**,然后键入 IAM 角色名称以创建 IAM 角色。
1. 对于 **Regions**,选择您要为其聚合数据的区域。
+ 选择一个区域或多个区域或所有。AWS 区域
+ 选择**包括未来的,AWS 区域**以从启用了多账户多区域数据聚合的所有未来 AWS 区域中聚合数据。
1. 选择 **Save(保存)**。AWS Config 将显示聚合器。
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. 打开命令提示符或终端窗口。
1. 输入以下命令以创建一个名为 **MyAggregator** 的聚合器。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
对于,`account-aggregation-sources`输入以下内容之一。
+ 以逗号分隔的您要为其聚合数据的 AWS 账户 ID 的列表。用方括号将账户 ID 括起来,并确保对引号进行转义(例如,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`)。
+ 您还可以上传以逗号分隔的 AWS 账户 ID 的 JSON 文件。上传文件使用以下语法:`--account-aggregation-sources MyFilePath/MyFile.json`
JSON 文件必须为以下格式:
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. 按 Enter 执行命令。
您应该可以看到类似于如下所示的输出内容:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
在开始本过程之前,您必须先登录到管理账户或注册的委派管理员,并且所有功能都必须在组织中处于启用状态。
**注意**
在委派管理员创建聚合器之前,请确保管理账户使用以下两个 AWS Config 服务主体名称(`config.amazonaws.com` 和 `config-multiaccountsetup.amazonaws.com`)注册了委派管理员。要注册委派管理员,请参阅 [为注册委派管理员 AWS Config](aggregated-register-delegated-administrator.md)
1. 打开命令提示符或终端窗口。
1. 如果尚未为 AWS Config 聚合器创建 IAM 角色,请输入以下命令:
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**注意**
从此 IAM 角色复制 Amazon 资源名称(ARN),以便在您创建 AWS Config 聚合器时使用。您可以在响应对象上找到 ARN。
1. 如果尚未为您的 IAM 角色附加策略,请附加 [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) 托管策略或输入以下命令:
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. 输入以下命令以创建一个名为 **MyAggregator** 的聚合器。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. 按 Enter 执行命令。
您应该可以看到类似于如下所示的输出内容:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 为注册委派管理员 AWS Config
委派管理员是指给定 AWS 组织内被授予特定 AWS 服务的额外管理权限的账户。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[委托管理员](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。您必须使用 AWS CLI 注册委托管理员。
**注册委托管理员**
1. 使用管理账户凭证登录。
1. 打开命令提示符或终端窗口。
1. 输入以下命令以授权管理员的身份为组织启用服务访问权限,以便在整个组织中部署和管理 AWS Config 规则和一致性包:
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. 输入以下命令以授权管理员的身份为您的组织启用服务访问权限,以便在整个组织中聚合 AWS Config 数据:
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. 要检查启用服务访问权限是否已完成,请输入以下命令并按 Enter 执行此命令。
```
aws organizations list-aws-service-access-for-organization
```
您应该可以看到类似于如下所示的输出内容:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. 接下来,输入以下命令以注册一个成员账户作为 AWS Config的委派管理员。
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
and
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. 要检查委派管理员注册是否已完成,请从管理账户中输入以下命令,然后按 Enter 键执行该命令。
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
and
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
您应该可以看到类似于如下所示的输出内容:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# 编辑 AWS Config 聚合器
您可以使用 AWS Config 控制台或 AWS CLI 编辑聚合器。
------
#### [ Editing Aggregators (Console) ]
1. 登录到,AWS 管理控制台然后通过以下网址打开 AWS Config 控制台:[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)。
1. 导航到**聚合器**页面,然后选择聚合器名称。
1. 选择 **Actions**,然后选择 **Edit**。
1. 使用**编辑聚合器**页面上的相关部分来更改聚合器的源账户、IAM 角色或区域。
**注意**
您无法将源类型从个人账户更改为组织,反之亦然。
1. 选择**保存**。
------
#### [ Editing Aggregators (AWS CLI) ]
1. 您可以使用 `put-configuration-aggregator` 命令来更新或编辑配置聚合器。
输入以下命令以向 **MyAggregator** 添加新的账户 ID:
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. 根据您的源账户,您应该看到类似于以下内容的输出:
**对于个人账户**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
或
**对于组织**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 删除 AWS Config 聚合器
您可以使用 AWS Config 控制台或 AWS CLI 删除聚合器。
------
#### [ Deleting Aggregators (Console) ]
1. 登录到,AWS 管理控制台然后通过以下网址打开 AWS Config 控制台:[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)。
1. 导航到**聚合器**页面,然后选择聚合器名称。
1. 选择 **操作**,然后选择 **删除**。
此时会显示一条警告消息。删除聚合器会导致所有聚合数据丢失。您无法恢复此数据,但数据源账户不受影响。
1. 选择 **Delete** 以确认您的选择。
------
#### [ Deleting Aggregators (AWS CLI) ]
输入以下命令:
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
如果成功,则命令会执行,而没有附加输出。
------
# 授权聚合器账户收集 AWS Config 配置和合规性数据
*授权*是指您向聚合器账户和地区授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。您可以使用 AWS Config 控制台或 AWS CLI 来授权聚合器账户。
**Topics**
+ [注意事项](#aggregated-add-authorization-considerations)
+ [添加授权](#aggregated-add-authorization-procedure)
## 注意事项
**聚合器有两种类型:个人账户聚合器和组织聚合器**
对于个人账户聚合器,您要包含的所有源账户和区域都需要授权,包括外部账户和区域,以及组织成员账户和区域。
对于组织聚合器,组织成员账户区域无需授权,因为授权已与 AWS Organizations 服务集成。
**聚合器不会自动代表您 AWS Config 启用**
AWS Config 需要在来源账户和区域中为任一类型的聚合器启用,才能在源账户和区域中生成 AWS Config 数据。
## 添加授权
------
#### [ Adding Authorization (Console) ]
您可以添加授权,向聚合器账户和区域授予收集 AWS Config 配置和合规性数据的权限。
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 导航到**授权**页面,然后选择**添加授权**。
1. 对于**聚合器账户**,键入聚合器账户的 12 位数账户 ID。
1. 对于**聚合器区域**,选择允许聚合器账户在其中收集 AWS 配置和合规性数据的。 AWS 区域
1. 选择**添加授权**以确认您的选择。
AWS Config 显示聚合器账户、区域和授权状态。
**注意**
您还可以使用 CloudFormation 示例模板以编程方式向聚合器账户和区域添加授权。有关更多信息,请参阅《CloudFormation 用户指南》**中的 [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html)。
------
#### [ Authorizing a Pending Request (Console) ]
如果您有来自现有聚合器账户的待处理授权请求,您将在**授权**页面上看到请求状态。您可以从此页面授权待处理请求。
1. 选择要授权的聚合器账户,然后选择**授权**。
将显示一条确认消息,确认您要向聚合器账户授予从该账户收集 AWS Config 数据的权限。
1. 再次选择**授权**,以确认您要向此聚合器账户授予权限。
授权状态从**请求授权**更改为**已授权**。
**授权批准期限**
向个人账户聚合器添加源账户需要获得授权批准。在个人账户聚合器添加源账户后,待处理的授权批准请求将在 7 天内有效。
------
#### [ Adding Authorization (AWS CLI) ]
1. 打开命令提示符或终端窗口。
1. 输入以下命令:
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. 您应该可以看到类似于如下所示的输出内容:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# 删除聚合器账户收集 AWS Config 配置和合规性数据的授权
*授权*是指您向聚合器账户和地区授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。您可以使用 AWS Config 控制台或删除 AWS CLI 授权。
**Topics**
+ [注意事项](#aggregated-delete-authorization-considerations)
+ [删除授权](#aaggregated-delete-authorization-procedure)
## 注意事项
**聚合器有两种类型:个人账户聚合器和组织聚合器**
对于个人账户聚合器,您要包含的所有源账户和区域都需要授权,包括外部账户和区域,以及组织成员账户和区域。
对于组织聚合器,组织成员账户区域无需授权,因为授权已与 AWS Organizations 服务集成。
**聚合器不会自动代表您 AWS Config 启用**
AWS Config 需要在源账户和区域中为任一类型的聚合器启用,才能在源账户和区域中生成 AWS Config 数据。
## 删除授权
------
#### [ Deleting Authorization (Console) ]
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 选择要删除授权的聚合器账户,然后选择**删除**。
此时会显示一条警告消息。删除此授权后, AWS Config 数据将不再与聚合器帐户共享。
1. 再次选择**删除**以确认您的选择。
该聚合器账户现已被删除。
------
#### [ Deleting Authorization (AWS CLI) ]
输入以下命令:
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
如果成功,则命令会执行,而没有附加输出。
------
# 查看 AWS Config 聚合器
您可以使用 AWS Config 控制台或 AWS CLI 查看聚合器。
------
#### [ Viewing Aggregators (Console) ]
要在 AWS 管理控制台中查看您的合规包,请参阅[聚合器控制面板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)。
------
#### [ Viewing Aggregators (AWS CLI) ]
1. 输入以下命令:
```
aws configservice describe-configuration-aggregators
```
1. 根据您的源账户,您应该看到类似于以下内容的输出:
**对于个人账户**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
或
**对于组织**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 的多账户多区域数据聚合疑难解答 AWS Config
AWS Config 由于以下原因之一,可能无法聚合来自源帐户的数据:
****
| 如果发生这种情况 | 请执行该操作 |
| --- | --- |
| AWS Config 未在组织内帐户的来源帐户中启用。 | AWS Config 在源账户中启用并授权聚合器账户收集数据。 |
| 未给予聚合器账户授权。 | 登录来源账户并向聚合器账户授予收集 AWS Config 数据的授权。 |
| 可能存在阻止数据聚合的暂时性问题。 | 数据聚合可能会发生延迟。请等待几分钟。 |
AWS Config 由于以下原因之一,可能无法聚合来自组织的数据:
****
| 如果发生这种情况 | 请执行该操作 |
| --- | --- |
| AWS Config 由于 IAM 角色无效,无法访问您的组织详细信息。 | 创建一个 IAM 角色,或从 IAM 角色列表中选择一个有效的 IAM 角色。 如果 IAM 角色的失效时间超过 7 天,则 AWS Config 会删除整个组织的数据。 |
| AWS Config 您的组织中已禁用服务访问权限。 | 您可以在 API 之间启用集成 AWS Config ,也可以 AWS Organizations 通过 EnableAWSServiceAccess API 实现集成。如果您选择在控制台中添加我的组织,则 AWS Config 会自动启用 AWS Config 和之间的集成 AWS Organizations。 |
| AWS Config 无法访问您的组织详细信息,因为您的组织中未启用所有功能。 | [启用 AWS Organizations 控制台中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。 |
| 中东(巴林)和亚太地区(香港)区域不会立即更新组织变更,例如添加账户、删除账户、启用服务访问权限和禁用服务访问权限。 | 组织变更可能会有 2 小时的延迟。请等待 2 小时以查看所有组织变更。 |