本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS Config 组织中所有账户的规则
重要
只能使用API或创建组织规则CLI。中不支持此操作 AWS Config console。
AWS Config 允许你管理 AWS Config 所有规则都适用 AWS 账户 在组织内部。您可以:
-
集中创建、更新和删除 AWS Config 组织中所有账户的规则。
-
部署一组常用的 AWS Config 对所有账户进行规则并指定账户在哪里 AWS Config 不应创建规则。
-
在APIs中使用管理账户中的 AWS Organizations 通过确保底层管理来强制治理 AWS Config 您组织的成员帐户无法修改规则。
注意事项
对于跨不同区域的部署
跨账户部署规则和一致性包的API要求是 AWS 特定于区域。在组织级别,如果要在其他区域部署规则,则需要将API调用的上下文更改到其他区域。例如,要在美国东部(弗吉尼亚州北部)部署规则,应将区域更改为美国东部(弗吉尼亚州北部),然后调用 PutOrganizationConfigRule。
对用于组织内的账户
如果有新账户加入组织,会将相关的规则或合规包部署到该账户中。当账户离开组织时,相关的规则或合规包将被删除。
如果您在组织管理员账户中部署组织规则或合规包,然后建立委派管理员,并在委派管理员账户中部署组织规则或合规包,您将无法通过委派管理员账户在组织管理员账户中查看组织规则或合规包,也无法通过组织管理员账户查看委派管理员账户中的组织规则或合规包。DescribeOrganizationConfigRules和DescribeOrganizationConformancePacksAPIs只能查看从调用这些资源的账户内部部署的组织相关资源并与之交互。APIs
添加到组织的新账户的重试机制
如果没有记录器,则只有在向组织添加账户后,才会重试部署现有组织规则和合规包 7 小时。如果在向组织添加账户后的 7 小时内没有记录器,则需要创建一个记录器。
组织管理账户、委派管理员和服务相关角色
如果您使用的是组织管理账户并打算使用委派管理员进行组织部署,请注意以下几点 AWS Config 不会自动创建服务相关角色 (SLR)。您必须使用IAM单独手动创建服务相关角色 (SLR)。
如果您的管理账户没有,则无法从委派管理员账户向该账户部署资源。SLR你仍然可以部署 AWS Config 管理账户和委托管理员账户中的成员账户规则。有关更多信息,请参阅中的使用服务相关角色 AWS Identity and Access Management (IAM) 用户指南。
部署
有关如何集成的信息 AWS Config 替换为 AWS Organizations,请参阅 AWS Config 以及 AWS Organizations中的 AWS Organizations 用户指南。确保 AWS Config 在你使用以下内容进行管理之前,录制已APIs开启 AWS Config 所有规则都适用 AWS 账户 在组织内部:
-
PutOrganizationConfigRule,为整个组织添加或更新组织配置规则,以评估您是否 AWS 资源符合您所需的配置。
-
DescribeOrganizationConfigRules,返回组织配置规则列表。
-
GetOrganizationConfigRuleDetailedStatus,返回给定组织配置规则下组织内每个成员账户的详细状态。
-
GetOrganizationCustomRulePolicy,返回包含组织配置自定义策略规则逻辑的策略定义。
-
DescribeOrganizationConfigRuleStatuses,提供组织的组织配置规则部署状态。
-
DeleteOrganizationConfigRule,从该组织的所有成员账户中删除指定的组织配置规则及其所有评估结果。
区域支持
部署 AWS Config 中跨成员账户的规则 AWS 以下区域支持组织。
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美国西部(加利福尼亚北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲地区(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲地区(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(苏黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列(特拉维夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国东部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
