本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為 建立彙總工具 AWS Config 您可以使用 AWS Config 主控台或 AWS CLI 來建立彙總工具。在 中 AWS Config ,您可以選擇**新增個別帳戶 IDs**或**新增要從中彙總資料的我的組織**。對於 AWS CLI ,有兩個不同的程序。 ------ #### [ Creating Aggregators (Console) ] 在**彙總工具**頁面上,您可以指定要彙總資料的來源帳戶 IDs或組織和區域,以建立彙總工具。 1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 的 AWS Config 主控台。 1. 導覽至 **彙整工具** 頁面,並選擇 **建立彙總工具**。 1. **Allow data replication (允許資料複寫)** 會給予 AWS Config 許可,允許其從來源帳戶將資料複寫至彙整帳戶。 選擇**允許 (允許) AWS Config 將來源帳戶的資料複寫至彙整工具帳戶。您必須選取此核取方塊才能繼續新增彙總工具**。 1. 針對 **Aggregator name (彙整工具名稱)**,輸入彙整工具的名稱。 彙整工具名稱必須是最多 64 個英數字元的唯一名稱。名稱可以包含連字號和底線。 1. 對於**選取來源帳戶**,選擇**新增個別帳戶 IDs**或從您要彙總資料的來源**新增我的組織**。 **注意** 使用 **新增個別帳戶 ID** 以選取來源帳戶時,需要授權。 + 如果您選擇 **Add individual account IDs (新增個別帳戶 ID)**,則可以新增彙整工具帳戶的個別帳戶 ID。 1. 選擇 **Add source accounts (新增來源帳戶)** 來新增帳戶 ID。 1. 選擇**新增 AWS 帳戶 IDs**以手動新增逗號分隔 AWS 帳戶 IDs。如果您要彙整目前帳戶中的資料,請輸入帳戶的帳戶 ID。 或 選擇 **上傳檔案**,上傳以逗號分隔之 AWS 帳戶 ID 的檔案 (.txt 或 .csv)。 1. 選擇 **Add source accounts (新增來源帳戶)**,確認您選取的項目。 + 如果您選擇 **Add my organization (新增我的組織)**,則可以將組織中的所有帳戶都新增至彙整工具帳戶。 **注意** 您必須先登入管理帳戶或註冊委派管理員,且啟用組織中的所有功能。如果發起人是管理帳戶, 會 AWS Config 呼叫 `EnableAwsServiceAccess` API 以[啟用 和 之間的整合](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) AWS Organizations。 AWS Config 如果發起人是已註冊的委派管理員, 會 AWS Config 呼叫 `ListDelegatedAdministrators` API 來驗證發起人是否為有效的委派管理員。 確保管理帳戶在委派管理員建立彙總工具之前,註冊 AWS Config 服務主體名稱的委派管理員 (config.amazonaws.com://)。若要註冊委派管理員,請參閱《[註冊 的委派管理員 AWS Config](aggregated-register-delegated-administrator.md)》。 您必須指派 IAM 角色,以允許 為您的組織 AWS Config 呼叫唯讀 APIs。 1. 選擇 **從您的帳戶選擇角色** 以選取現有 IAM 角色。 **注意** 在 IAM 主控台中,將 `AWSConfigRoleForOrganizations` 受管政策連接至您的 IAM 角色。連接此政策可讓 AWS Config 呼叫 AWS Organizations `DescribeOrganization`、 `ListAWSServiceAccessForOrganization`和 `ListAccounts` APIs。`config.amazonaws.com` 預設會自動指定為受信任的實體。 1. 或者,選擇 **建立角色**,然後鍵入 IAM 角色名稱的名稱,以建立 IAM 角色。 1. 針對 **Regions (區域)**,選擇您要彙整資料的區域。 + 選擇一或多個區域,或所有 AWS 區域。 + 選取**包含未來 AWS 區域**以彙總啟用 AWS 區域 多帳戶多區域資料彙總的所有未來資料。 1. 選擇**儲存**。 AWS Config 顯示彙總工具。 ------ #### [ Creating Aggregators using Individual Accounts (AWS CLI) ] 1. 開啟命令提示或終端機視窗。 1. 輸入下列命令,建立名為 **MyAggregator** 的彙整工具。 ``` aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]" ``` 針對 `account-aggregation-sources`,輸入下列其中之一: + 您想要彙總資料的逗號分隔 AWS 帳戶 IDs 清單。以方括弧包圍帳戶 ID,並確認逸出雙引號 (例如,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`)。 + 您也可以上傳逗號分隔 AWS 帳戶 IDs的 JSON 檔案。使用下列語法上傳檔案:`--account-aggregation-sources MyFilePath/MyFile.json` JSON 檔案必須採用下列格式: ``` [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ] ``` 1. 按 Enter 以執行命令。 您應該會看到類似下列的輸出: ``` { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } } ``` ------ #### [ Creating Aggregators using AWS Organizations (AWS CLI) ] 您必須先登入管理帳戶或註冊委派管理員,並啟用您組織中的所有功能,才能開始此程序。 **注意** 在委派管理員建立彙總工具之前,請確定管理帳戶使用下列兩個 AWS Config 服務主體名稱 (`config.amazonaws.com` 和`config-multiaccountsetup.amazonaws.com`) 註冊委派管理員。若要註冊委派管理員,請參閱《[註冊 的委派管理員 AWS Config](aggregated-register-delegated-administrator.md)》。 1. 開啟命令提示或終端機視窗。 1. 如果 尚未為彙總工具建立 IAM AWS Config 角色,請輸入下列命令: ``` aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator" ``` **注意** 從此 IAM 角色複製 Amazon Resource Name AWS Config (ARN),以便在建立彙總工具時使用。您可以在回應物件中找到 ARN。 1. 如果尚未將政策附加到 IAM 角色,請附加 [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) 受管政策,或輸入下列命令: ``` aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}' ``` 1. 輸入下列命令,建立名為 **MyAggregator** 的彙整工具。 ``` aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}" ``` 1. 按 Enter 以執行命令。 您應該會看到類似下列的輸出: ``` { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } } ``` ------