本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的多帳戶多區域資料彙總 AWS Config
彙整工具是一種 AWS Config 資源類型,可從下列項目收集 AWS Config 組態和合規資料:
+ 多個帳戶和多個 AWS 區域。
+ 單一帳戶和多個 AWS 區域。
+ 中的組織 AWS Organizations ,以及該組織中 AWS Config 已啟用的所有帳戶。
使用彙整工具檢視資源組態和 AWS Config中記錄的合規資料。下圖顯示彙總工具如何 AWS Config 從多個帳戶和區域收集資料。
![\[影像描述 AWS Config 資料彙總程序。它叫用從多個來源帳戶和 AWS 區域收集資料、彙總資源組態資訊和合規資料,以及呈現彙總檢視以協助管理。\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## 使用案例
+ **合規監控**:您可以彙總合規資料,以評估組織的整體合規狀態,或跨帳戶和區域。
+ **變更追蹤**:您可以追蹤整個組織或跨帳戶和區域的 資源變更。
+ **資源關係**:您可以分析整個組織或跨帳戶和區域的資源相依性和關係。
**注意**
彙總工具提供來源帳戶的*唯讀檢視*,以及彙總工具有權透過將來源帳戶的資料複寫至彙總工具帳戶來檢視的區域。彙總器不提供來源帳戶或區域的變動存取。例如,這表示您無法透過彙總工具部署規則,也無法透過彙總工具將快照檔案推送至來源帳戶或區域。
使用彙整工具不會產生任何額外費用。
## 術語
*來源帳戶*是您要 AWS 帳戶 從中彙總 AWS Config 資源組態和合規資料的 。來源帳戶可以是 AWS Organizations中的個別帳戶或組織。您可以個別提供來源帳戶,也可以透過 擷取來源帳戶 AWS Organizations。
*來源區域*是您要從中彙總 AWS Config 組態和合規資料 AWS 的區域。
*彙總工具帳戶*是您建立彙總工具的帳戶。
*授權*是指您授予彙總工具帳戶和區域的許可,以收集您的 AWS Config 組態和合規資料。如果您要彙整屬於 AWS Organizations一部分的來源帳戶,則不需要授權。
*服務連結彙整工具*會連結至特定 AWS 服務。範圍內的組態和合規資料是由連結的服務所設定。
## 區域支援
目前,下列區域支援多帳戶多區域資料彙總:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/aggregate-data.html)
# 在 的彙總工具儀表板中檢視合規和庫存資料 AWS Config
**彙總工具**頁面上的儀表板會顯示彙總 AWS 資源的組態資料。其提供規則、一致性套件及其合規狀態的概觀。
儀表板會提供資源的總 AWS 資源計數。資源類型和來源帳戶的排名是根據最高數量的資源。其也會提供合規及不合規規則與一致性套件的計數。不合規規則的排名是根據最高數量的不合規資源。不合規一致性套件與來源帳戶的排名是根據最高數量的不合規規則。
設定之後 AWS Config,它會開始將來自指定來源帳戶的資料彙總到彙總工具中。可能需要數分鐘才會顯示規則的合規狀態。
## 使用彙總工具儀板表
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。
1. 導覽到 **彙總工具** 頁面。您可以檢視:
+ 您的規則及其合規狀態。
+ 您的一致性套件及其合規狀態。
+ 您的 AWS 資源及其組態資料。
1.
從儀表板選擇彙總工具。依彙總工具名稱篩選彙總工具。您可以檢視下列小工具:
+ **資源庫存**
檢視所選彙總工具中前 10 個資源類型 (根據資源計數以遞減順序列出)。選擇所選彙總工具的資源總數 (顯示在 **資源庫存** 後面的括號中),即可移至彙總的 **資源** 頁面,您可以在此頁面中檢視彙總工具的所有資源。或者,在小工具中選擇資源類型以移至彙總的**資源**頁面,並使用指定的資源類型進行篩選。
+ **依資源計數列出的帳戶**
檢視所選彙總工具中前五個帳戶 (根據資源計數以遞減順序列出)。在小工具中選擇帳戶以移至 **資源** 頁面,並使用指定的帳戶進行篩選。
+ **不合規規則**
依不合規資源數量的遞減順序,從選取的彙總器檢視前五個不合規規則。在小工具中選擇規則,以移至指定規則的詳細資訊頁面。選擇 **檢視所有不合規規則**,即可移至彙總的 **規則** 頁面,您可以在此頁面中檢視彙總工具的所有規則。
+ **依不合規規則列出的帳戶**
檢視所選彙總工具中前五個帳戶 (根據不合規規則的數目以遞減順序列出)。在小工具中選擇一個帳戶,即可移至彙總的 **規則** 頁面,您可以在此頁面中檢視使用指定帳戶篩選之彙總工具的所有規則。
+ **依不合規一致性套件列出的帳戶**
檢視所選彙總工具中前五個帳戶 (根據不合規一致性套件的數目以遞減順序列出)。在小工具中選擇一個帳戶,即可移至彙總的 **一致性套件** 頁面,您可以在此頁面中檢視使用指定帳戶篩選之彙總工具的所有一致性套件。
1. 在左側導覽窗格中,從下拉式功能表選擇下列其中一個選項:
+ **合規儀表板**
使用可總結彙總工具內資源合規性洞察的小工具,以檢視自動化合規儀表板。您可以查看依不合規資源列出的前 10 個資源類型,以及依不合規規則列出的前 10 個帳戶層級一致性套件等資料。如需這些圖形和圖表的資訊,請參閱《[合規儀表板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard)》。
+ **一致性套件**
檢視在彙總工具 AWS 帳戶 中建立並連結至不同 的所有一致性套件。**一致性套件**頁面會顯示一個資料表,其中列出每個一致性套件的名稱、區域、帳戶 ID 及合規狀態。您可以從此頁面選擇一致性套件和 **檢視詳細資訊**,以取得有關其規則、資源及其合規狀態的詳細資訊。
+ **規則**
檢視彙總工具內已建立並連結至不同 AWS 帳戶的所有規則。**規則**頁面會顯示一個資料表,其中列出每個規則的名稱、合規狀態、區域及帳戶。您可以從此頁面選擇規則和 **檢視詳細資訊**,以取得其彙總工具、區域、帳戶 ID 及範圍內的資源等資訊。
+ **庫存儀表板**
使用可總結彙總工具內資源組態資料洞察的小工具,以檢視自動化庫存儀表板。您可以查看依資源計數列出的前 10 個資源類型,以及依資源計數列出的前 10 個帳戶等資料。如需這些圖形和圖表的資訊,請參閱《[庫存儀表板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard)》。
+ **資源**
檢視彙總工具內已記錄並連結至不同 AWS 帳戶的所有資源。從**資源**頁面中選擇資源和 **檢視詳細資訊**,以檢視其詳細資訊、與其相關聯的規則及目前的資源組態。您也可以查看資源的相關資訊,例如其彙總工具、區域、帳戶 ID、資源名稱、資源類型及資源 ID。
+ **授權**
檢視並管理目前授權或待授權的所有帳戶。從 **授權** 頁面中,選擇 **新增授權** 以提供對其他帳戶的存取權。選擇 **刪除授權** 以撤銷帳戶 ID 的存取權。
**注意**
**疑難排解**
基於下列原因,您可能會看到**所有來源帳戶和區域的資料收集未完成**訊息顯示在彙總檢視中:
不合規 AWS Config 規則的傳輸和 AWS 資源的組態資料正在進行中。
AWS Config 找不到符合您套用之篩選條件的規則。選取適當的帳戶或區域,然後再試一次。
您可能會在彙總檢視中看到此訊息:**來自組織的資料收集不完整。您只能在 24 小時內檢視以下資料。**其顯示的原因如下:
AWS Config 由於 IAM 角色無效,無法存取您的組織詳細資訊。若 IAM 角色無效時間超過 24 小時,則 AWS Config 會刪除整個組織的資料。
AWS Config 您的組織中已停用 服務存取。
## 合規儀表板
使用可總結彙總工具內資源合規性洞察的小工具,以檢視自動化合規儀表板。此儀表板只會顯示具有合規結果的規則。
**注意**
**限制**
合規儀表板中的洞見由 的進階查詢功能提供 AWS Config,此功能不支援巢狀結構或解壓縮巢狀陣列。這表示合規儀表板會顯示資源的整體合規,而不是報告資源的每個特定規則的合規狀態。
例如,如果您檢查資源類型的組態項目 (CI)`AWS::Config::ResourceCompliance`,儀表板會顯示報告該資源之所有規則的合規結果。如果有 10 個規則報告資源,其中 9 個是 COMPLIANT,而只有 1 個是 NON\$1COMPLIANT,則該資源的整體合規將為 NON\$1COMPLIANT。
**依資源劃分的合規摘要**
顯示將合規資源數目與所選彙總工具中的不合規資源進行比較的圓餅圖。將滑鼠暫留在圖表上,以查看合規和不合規資源的確切數量和百分比。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**不合規資源的前 10 個資源類型**
顯示水平長條圖,以不合規資源的數量遞減順序比較所選彙總工具中最多 10 個資源類型。將滑鼠暫留在圖表上,以查看每個資源類型的不合規資源的確切數量。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**不合規資源的前 10 個帳戶**
*依不合規資源排序的前 10 個帳戶*會顯示水平長條圖,以不合規資源的數量遞減順序比較所選彙總工具中最多 10 個帳戶。將滑鼠游標暫留在圖表上,以查看每個帳戶的不合規資源確切數量。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**不合規資源的前 10 個區域**
顯示水平長條圖,比較最多 10 個區域,其中選取的彙總工具會依不合規資源的數量以遞減順序收集資料。將滑鼠游標暫留在圖表上,以查看每個區域的不合規資源確切數量。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定。
**不合規規則的前 10 個帳戶層級一致性套件**
顯示水平長條圖,依不合規規則的數量,以遞減順序比較所選彙總工具中最多 10 個帳戶層級一致性套件。將滑鼠暫留在圖表上,以查看每個帳戶層級一致性套件的合規和不合規規則百分比。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**不符合規則的前 10 個組織層級一致性套件**
顯示水平長條圖,依不合規規則的數量,以遞減順序比較所選彙總工具中最多 10 個組織層級一致性套件。將滑鼠暫留在圖表上,以查看每個組織層級一致性套件中合規和不合規規則的百分比。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**一致性套件之間不合規規則的前 10 個帳戶**
*依一致性套件的不合規規則排序的前 10 個帳戶*會顯示水平長條圖,以所有一致性套件的不合規規則數目,依遞減順序比較所選彙總工具中最多 10 個帳戶。將滑鼠游標移至圖表上,以查看每個帳戶中不合規規則的確切數量。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
## 庫存儀表板
使用可總結彙總工具內資源組態資料洞察的小工具,以檢視自動化庫存儀表板。
**依資源計數列出的前 10 個資源類型**
顯示的水平長條圖可比較所選彙總工具中多達 10 個資源類型 (根據資源計數以遞減順序列出)。將滑鼠游標移至圖表上方,即可查看每個資源類型中資源的確切數目。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**依區域劃分的資源計數**
顯示的水平長條圖可比較所選彙總工具在其中收集資料的區域,數量多達 10 個 (根據資源計數以遞減順序列出)。將滑鼠游標移至圖表上方,即可查看每個區域中資源的確切數目。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定。
**依資源計數列出的前 10 個帳戶**
顯示的水平長條圖可比較所選彙總工具中多達 10 個帳戶 (根據資源計數以遞減順序列出)。將滑鼠游標移至圖表上方,即可查看每個資源類型中資源的確切數目。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。
**依 Amazon EC2 服務資源類型劃分的資源計數**
顯示的水平長條圖可比較所選彙總工具中的 Amazon EC2 資源類型 (根據資源計數以遞減順序列出)。將滑鼠游標移至圖表上方,即可查看每個 Amazon EC2 資源類型中資源的確切數目。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。若要使用此圖表,您必須設定記錄器以記錄 Amazon EC2 資源類型。如需詳細資訊,請參閱[選取哪些資源 AWS Config 記錄](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**使用的前 10 個 EC2 執行個體類型**
顯示的水平長條圖可比較所選彙總工具中多達 10 個 Amazon EC2 執行個體類型 (根據用量以遞減順序列出)。將滑鼠游標移至圖表上方,即可查看每個 EC2 執行個體類型的用量。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。若要使用此圖表,您必須設定記錄器以記錄 EC2 執行個體資源類型。如需詳細資訊,請參閱[重新編碼 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**按磁碟區類型和大小的 EBS 磁碟區計數**
顯示的垂直長條圖可根據資源計數,比較所選彙總工具中的 EBS 磁碟區。將滑鼠游標移至圖表上方,即可查看每種 EBS 磁碟區類型的計數和大小明細。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。若要使用此圖表,您必須設定記錄器以記錄 EC2 磁碟區資源類型。如需詳細資訊,請參閱[選取哪些資源 AWS Config 記錄](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
**依類型劃分的執行中與已停止的 EC2 執行個體數目**
顯示的水平長條圖可根據執行個體類型,比較所選彙總工具中執行中的 EC2 執行個體類型與已停止的 EC2 執行個體。將滑鼠游標移至圖表上方,即可查看每種類型中已停止與執行中 EC2 執行個體的確切數目。
顯示的資料取決於所選彙總工具中每個帳戶的組態記錄器設定,以及所選彙總工具設定為收集資料的區域。若要使用此圖表,您必須設定記錄器以記錄 EC2 執行個體資源類型。如需詳細資訊,請參閱[重新編碼 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
# 為 建立彙總工具 AWS Config
您可以使用 AWS Config 主控台或 AWS CLI 來建立彙總工具。在 中 AWS Config ,您可以選擇**新增個別帳戶 IDs**或**新增要從中彙總資料的我的組織**。對於 AWS CLI ,有兩個不同的程序。
------
#### [ Creating Aggregators (Console) ]
在**彙總工具**頁面上,您可以指定要彙總資料的來源帳戶 IDs或組織和區域,以建立彙總工具。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 的 AWS Config 主控台。
1. 導覽至 **彙整工具** 頁面,並選擇 **建立彙總工具**。
1. **Allow data replication (允許資料複寫)** 會給予 AWS Config 許可,允許其從來源帳戶將資料複寫至彙整帳戶。
選擇**允許 (允許) AWS Config 將來源帳戶的資料複寫至彙整工具帳戶。您必須選取此核取方塊才能繼續新增彙總工具**。
1. 針對 **Aggregator name (彙整工具名稱)**,輸入彙整工具的名稱。
彙整工具名稱必須是最多 64 個英數字元的唯一名稱。名稱可以包含連字號和底線。
1. 對於**選取來源帳戶**,選擇**新增個別帳戶 IDs**或從您要彙總資料的來源**新增我的組織**。
**注意**
使用 **新增個別帳戶 ID** 以選取來源帳戶時,需要授權。
+ 如果您選擇 **Add individual account IDs (新增個別帳戶 ID)**,則可以新增彙整工具帳戶的個別帳戶 ID。
1. 選擇 **Add source accounts (新增來源帳戶)** 來新增帳戶 ID。
1. 選擇**新增 AWS 帳戶 IDs**以手動新增逗號分隔 AWS 帳戶 IDs。如果您要彙整目前帳戶中的資料,請輸入帳戶的帳戶 ID。
或
選擇 **上傳檔案**,上傳以逗號分隔之 AWS 帳戶 ID 的檔案 (.txt 或 .csv)。
1. 選擇 **Add source accounts (新增來源帳戶)**,確認您選取的項目。
+ 如果您選擇 **Add my organization (新增我的組織)**,則可以將組織中的所有帳戶都新增至彙整工具帳戶。
**注意**
您必須先登入管理帳戶或註冊委派管理員,且啟用組織中的所有功能。如果發起人是管理帳戶, 會 AWS Config 呼叫 `EnableAwsServiceAccess` API 以[啟用 和 之間的整合](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) AWS Organizations。 AWS Config 如果發起人是已註冊的委派管理員, 會 AWS Config 呼叫 `ListDelegatedAdministrators` API 來驗證發起人是否為有效的委派管理員。
確保管理帳戶在委派管理員建立彙總工具之前,註冊 AWS Config 服務主體名稱的委派管理員 (config.amazonaws.com://)。若要註冊委派管理員,請參閱《[註冊 的委派管理員 AWS Config](aggregated-register-delegated-administrator.md)》。
您必須指派 IAM 角色,以允許 為您的組織 AWS Config 呼叫唯讀 APIs。
1. 選擇 **從您的帳戶選擇角色** 以選取現有 IAM 角色。
**注意**
在 IAM 主控台中,將 `AWSConfigRoleForOrganizations` 受管政策連接至您的 IAM 角色。連接此政策可讓 AWS Config 呼叫 AWS Organizations `DescribeOrganization`、 `ListAWSServiceAccessForOrganization`和 `ListAccounts` APIs。`config.amazonaws.com` 預設會自動指定為受信任的實體。
1. 或者,選擇 **建立角色**,然後鍵入 IAM 角色名稱的名稱,以建立 IAM 角色。
1. 針對 **Regions (區域)**,選擇您要彙整資料的區域。
+ 選擇一或多個區域,或所有 AWS 區域。
+ 選取**包含未來 AWS 區域**以彙總啟用 AWS 區域 多帳戶多區域資料彙總的所有未來資料。
1. 選擇**儲存**。 AWS Config 顯示彙總工具。
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. 開啟命令提示或終端機視窗。
1. 輸入下列命令,建立名為 **MyAggregator** 的彙整工具。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
針對 `account-aggregation-sources`,輸入下列其中之一:
+ 您想要彙總資料的逗號分隔 AWS 帳戶 IDs 清單。以方括弧包圍帳戶 ID,並確認逸出雙引號 (例如,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`)。
+ 您也可以上傳逗號分隔 AWS 帳戶 IDs的 JSON 檔案。使用下列語法上傳檔案:`--account-aggregation-sources MyFilePath/MyFile.json`
JSON 檔案必須採用下列格式:
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. 按 Enter 以執行命令。
您應該會看到類似下列的輸出:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
您必須先登入管理帳戶或註冊委派管理員,並啟用您組織中的所有功能,才能開始此程序。
**注意**
在委派管理員建立彙總工具之前,請確定管理帳戶使用下列兩個 AWS Config 服務主體名稱 (`config.amazonaws.com` 和`config-multiaccountsetup.amazonaws.com`) 註冊委派管理員。若要註冊委派管理員,請參閱《[註冊 的委派管理員 AWS Config](aggregated-register-delegated-administrator.md)》。
1. 開啟命令提示或終端機視窗。
1. 如果 尚未為彙總工具建立 IAM AWS Config 角色,請輸入下列命令:
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**注意**
從此 IAM 角色複製 Amazon Resource Name AWS Config (ARN),以便在建立彙總工具時使用。您可以在回應物件中找到 ARN。
1. 如果尚未將政策附加到 IAM 角色,請附加 [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) 受管政策,或輸入下列命令:
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. 輸入下列命令,建立名為 **MyAggregator** 的彙整工具。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. 按 Enter 以執行命令。
您應該會看到類似下列的輸出:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 註冊 的委派管理員 AWS Config
委派管理員是指定 AWS 組織中的帳戶,這些帳戶會獲得指定 AWS 服務的其他管理權限。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[委派管理員](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。您必須使用 AWS CLI 註冊委派管理員。
**註冊委派管理員**
1. 使用管理帳戶登入資料登入。
1. 開啟命令提示或終端機視窗。
1. 輸入下列命令,以委派管理員身分啟用服務存取,讓您的組織在整個組織中部署和管理 AWS Config 規則和一致性套件:
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. 輸入下列命令,以委派管理員身分啟用服務存取,讓您的組織彙整整個組織 AWS Config 的資料:
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. 若要檢查是否已完成服務存取權啟用,請輸入下列命令,然後按 Enter 以執行指令。
```
aws organizations list-aws-service-access-for-organization
```
您應該會看到類似下列的輸出:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. 接下來,請輸入下列命令將成員帳戶註冊為 AWS Config的委派管理員。
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
及
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. 若要檢查是否已完成委派管理員註冊,請從管理帳戶輸入下列命令,然後按 Enter 以執行命令。
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
及
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
您應該會看到類似下列的輸出:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# 編輯 的彙總工具 AWS Config
您可以使用 AWS Config 主控台或 AWS CLI 編輯您的彙總工具。
------
#### [ Editing Aggregators (Console) ]
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。
1. 導覽至**彙總工具**頁面,然後選擇彙總工具名稱。
1. 選擇 **Actions (動作)**,然後選擇 **Edit (編輯)**。
1. 使用 **編輯彙整工具** 頁面上的各區段,以變更彙整工具的來源帳戶、IAM 角色或區域。
**注意**
您無法將個別帳戶的來源類型變更為組織,反之亦然。
1. 選擇**儲存**。
------
#### [ Editing Aggregators (AWS CLI) ]
1. 您可以使用 `put-configuration-aggregator` 命令更新或編輯組態彙整。
輸入下列命令,將新的帳戶 ID 新增至 **MyAggregator**:
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. 根據您的來源帳戶,您應該會看到與下列內容相似的輸出:
**針對個別帳戶**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
或
**針對組織**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 刪除 的彙總工具 AWS Config
您可以使用 AWS Config 主控台或 AWS CLI 來刪除彙總工具。
------
#### [ Deleting Aggregators (Console) ]
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。
1. 導覽至**彙總工具**頁面,然後選擇彙總工具名稱。
1. 選擇 **Actions (動作)**,然後選擇 **Delete (刪除 VPC)**。
即會顯示警告訊息。刪除彙整工具會遺失所有彙整資料。您無法復原此資料,但來源帳戶中的資料不會受到影響。
1. 選擇 **Delete (刪除)** 確認您選取的項目。
------
#### [ Deleting Aggregators (AWS CLI) ]
輸入以下命令:
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
若成功的話,命令會在沒有其他輸出的情況下執行。
------
# 授權彙整工具帳戶收集 AWS Config 組態和合規資料
*授權*是指您授予彙總工具帳戶和區域的許可,以收集您的 AWS Config 組態和合規資料。如果您要彙整屬於 AWS Organizations一部分的來源帳戶,則不需要授權。您可以使用 AWS Config 主控台或 AWS CLI 來授權彙總工具帳戶。
**Topics**
+ [
## 考量事項
](#aggregated-add-authorization-considerations)
+ [
## 新增授權
](#aggregated-add-authorization-procedure)
## 考量事項
**彙總工具有兩種類型:個人帳戶彙總工具和組織彙總工具**
針對個別帳戶彙總工具,您想要包含的所有來源帳戶與區域都需要授權,包括外部帳戶與區域,以及組織成員帳戶與區域。
對於組織彙整工具,由於授權已與 AWS Organizations 服務整合,因此組織成員帳戶區域不需要授權。
**彙總工具不會 AWS Config 代表您自動啟用**
AWS Config 需要針對任一類型的彙總工具在來源帳戶和區域中啟用,才能在來源帳戶和區域中產生 AWS Config 資料。
## 新增授權
------
#### [ Adding Authorization (Console) ]
您可以新增授權,以授予彙總器帳戶和區域的許可,以收集 AWS Config 組態和合規資料。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。
1. 導覽至 **Authorizations (授權)** 頁面,然後選擇 **Add authorization (新增授權)**。
1. 針對 **Aggregator account (彙整工具帳戶)**,輸入彙整工具帳戶的 12 位數帳戶 ID。
1. 針對 **彙總工具區域**,請選擇允許彙總工具帳戶收集 AWS Config 組態和合規資料的 AWS 區域 。
1. 選擇 **Add authorization (新增授權)**,確認您選取的項目。
AWS Config 會顯示彙總工具帳戶、區域和授權狀態。
**注意**
您也可以使用 CloudFormation 範例範本,以程式設計方式將授權新增至彙整工具帳戶和區域。如需詳細資訊,請參閱*CloudFormation 《 使用者指南*》中的 [AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html)。
------
#### [ Authorizing a Pending Request (Console) ]
若您有來自現有彙總工具帳戶的待定授權請求,您會在 **授權** 頁面看到請求狀態。您可以從此頁面授權擱置中請求。
1. 選擇您要授權的彙總工具帳戶,然後選擇 **授權**。
系統會顯示確認訊息,以確認您想要授予彙整工具帳戶 AWS Config 從此帳戶收集資料的許可。
1. 再次選擇 **授權** 以確認您要將許可授與彙總工具帳戶。
授權狀態會從 **Requesting for authorization (請求授權中)** 變更為 **Authorized (已授權)**。
**授權核准期限**
若要將來源帳戶新增至個別帳戶彙總工具,則需要獲得授權核准。將來源帳戶新增至個別帳戶彙總工具後,待定的授權核准申請將在 7 天內有效。
------
#### [ Adding Authorization (AWS CLI) ]
1. 開啟命令提示或終端機視窗。
1. 輸入以下命令:
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. 您應該會看到類似下列的輸出:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# 刪除彙總器帳戶收集 AWS Config 組態和合規資料的授權
*授權*是指您授予彙總工具帳戶和區域的許可,以收集您的 AWS Config 組態和合規資料。如果您要彙整屬於 AWS Organizations一部分的來源帳戶,則不需要授權。您可以使用 AWS Config 主控台或 AWS CLI 來刪除授權。
**Topics**
+ [
## 考量事項
](#aggregated-delete-authorization-considerations)
+ [
## 刪除授權
](#aaggregated-delete-authorization-procedure)
## 考量事項
**彙總工具有兩種類型:個人帳戶彙總工具和組織彙總工具**
針對個別帳戶彙總工具,您想要包含的所有來源帳戶與區域都需要授權,包括外部帳戶與區域,以及組織成員帳戶與區域。
對於組織彙整工具,由於授權已與 AWS Organizations 服務整合,因此組織成員帳戶區域不需要授權。
**彙總工具不會 AWS Config 代表您自動啟用**
AWS Config 需要針對任一類型的彙總工具在來源帳戶和區域中啟用,才能在來源帳戶和區域中產生 AWS Config 資料。
## 刪除授權
------
#### [ Deleting Authorization (Console) ]
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。
1. 選擇您希望刪除授權的彙總工具帳戶,並選擇 **刪除**。
即會顯示警告訊息。當您刪除此授權時, AWS Config 資料將不再與彙總工具帳戶共用。
1. 再次選擇 **刪除** 以確認您選取的項目。
現已刪除彙總工具帳戶。
------
#### [ Deleting Authorization (AWS CLI) ]
輸入以下命令:
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
若成功的話,命令會在沒有其他輸出的情況下執行。
------
# 檢視 的彙總器 AWS Config
您可以使用 AWS Config 主控台或 AWS CLI 來檢視您的彙總工具。
------
#### [ Viewing Aggregators (Console) ]
若要在 中檢視一致性套件 AWS 管理主控台,請參閱[彙總工具儀表板](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)。
------
#### [ Viewing Aggregators (AWS CLI) ]
1. 輸入以下命令:
```
aws configservice describe-configuration-aggregators
```
1. 根據您的來源帳戶,您應該會看到與下列內容相似的輸出:
**針對個別帳戶**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
或
**針對組織**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# 針對 的多帳戶多區域資料彙總進行故障診斷 AWS Config
AWS Config 由於下列其中一個原因, 可能不會從來源帳戶彙總資料:
****
| 若發生這種情況 | 執行此作業 |
| --- | --- |
| AWS Config 未在 組織內帳戶的來源帳戶中啟用 。 | AWS Config 在來源帳戶中啟用 ,並授權彙總工具帳戶收集資料。 |
| 授權並未授予彙整工具帳戶。 | 登入來源帳戶,並將授權授予彙總工具帳戶以收集資料 AWS Config 。 |
| 可能發生暫時性的問題,防止資料彙整。 | 資料彙整可能有所延遲。請等待數分鐘。 |
AWS Config 由於下列其中一個原因, 可能不會從組織彙總資料:
****
| 若發生這種情況 | 執行此作業 |
| --- | --- |
| AWS Config 由於 IAM 角色無效, 無法存取您的組織詳細資訊。 | 建立 IAM 角色,或從 IAM 角色清單選取有效的 IAM 角色。 如果 IAM 角色失效超過 7 天, 會 AWS Config 刪除整個組織的資料。 |
| AWS Config 您的組織中已停用 服務存取。 | 您可以透過 EnableAWSServiceAccess API 啟用 AWS Config 和 AWS Organizations 之間的整合。如果您選擇在主控台中新增我的組織, AWS Config 會自動啟用 AWS Config 和 之間的整合 AWS Organizations。 |
| AWS Config 無法存取您的組織詳細資訊,因為您的組織中未啟用所有功能。 | 在 AWS Organizations 主控台中[啟用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。 |
| 中東 (巴林) 和亞太區域 (香港) 區域不會立即更新新增帳戶、移除帳戶、啟用服務存取權及停用服務存取權等組織變更。 | 組織變更可能會延遲 2 小時。等待 2 小時即可查看所有組織變更。 |