本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨组织中的所有账户管理一致性包
使用 AWS Config 管理所有的一致性包 AWS 账户 在组织内部。您可执行以下操作:
-
在组织中跨成员账户集中部署、更新和删除合规包 AWS Organizations.
-
部署一组常用的 AWS Config 所有账户的规则和补救措施,并指定账户在哪里 AWS Config 不应创建规则和补救措施。
-
在中使用管理账户 AWS Organizations 通过确保底层管理来强制治理 AWS Config 您组织的成员帐户无法修改规则和补救措施。
注意事项
对于跨不同区域的部署
跨账户部署规则和一致性包的API要求是 AWS 特定于区域。在组织级别,如果要在其他区域部署规则,则需要将API调用的上下文更改到其他区域。例如,要在美国东部(弗吉尼亚州北部)部署规则,应将区域更改为美国东部(弗吉尼亚州北部),然后调用 PutOrganizationConfigRule。
对用于组织内的账户
如果有新账户加入组织,会将相关的规则或合规包部署到该账户中。当账户离开组织时,相关的规则或合规包将被删除。
如果您在组织管理员账户中部署组织规则或合规包,然后建立委派管理员,并在委派管理员账户中部署组织规则或合规包,您将无法通过委派管理员账户在组织管理员账户中查看组织规则或合规包,也无法通过组织管理员账户查看委派管理员账户中的组织规则或合规包。DescribeOrganizationConfigRules和DescribeOrganizationConformancePacksAPIs只能查看从调用这些资源的账户内部部署的组织相关资源并与之交互。APIs
添加到组织的新账户的重试机制
如果没有记录器,则只有在向组织添加账户后,才会重试部署现有组织规则和合规包 7 小时。如果在向组织添加账户后的 7 小时内没有记录器,则需要创建一个记录器。
组织管理账户、委派管理员和服务相关角色
如果您使用的是组织管理账户并打算使用委派管理员进行组织部署,请注意以下几点 AWS Config 不会自动创建服务相关角色 (SLR)。您必须使用IAM单独手动创建服务相关角色 (SLR)。
如果您的管理账户没有,则无法从委派管理员账户向该账户部署资源。SLR您仍然可以从管理账户和委托管理员账户向成员账户部署一致性包。有关更多信息,请参阅中的使用服务相关角色 AWS Identity and Access Management (IAM) 用户指南。
部署
区域支持
在成员账户中部署一致性包 AWS 以下区域支持组织。
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美国西部(加利福尼亚北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲地区(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲地区(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(苏黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列(特拉维夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国东部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
