本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Config 和 AWS Organizations
中的多帳戶、多區域資料彙總 AWS Config 可讓您 AWS Config 將來自多個帳戶的資料彙總 AWS 區域 到單一帳戶中。多帳戶多區域資料彙總對中央 IT 管理員監控企業中多個 AWS 帳戶 的合規性非常有用。彙總器是 中的資源類型 AWS Config , AWS Config 可從多個來源帳戶和區域收集資料。在您要查看彙總 AWS Config 資料的區域中建立彙總器。建立彙總器時,您可以選擇新增個別帳戶IDs或組織。如需 的詳細資訊 AWS Config,請參閱 AWS Config 開發人員指南 。
您也可以使用 AWS Config APIs 來管理 AWS Config 組織中所有 AWS 帳戶 的規則。如需詳細資訊,請參閱 AWS Config 開發人員指南 中的在您的組織中所有帳戶中啟用 AWS Config 規則。
使用下列資訊協助您 AWS Config 與 整合 AWS Organizations。
當您啟用整合時,即會建立服務連結角色。
當您啟用受信任存取時,會在您組織的帳戶中建立以下服務連結角色。此角色 AWS Config 允許 在您的組織中的帳戶內執行支援的操作。
-
AWSServiceRoleForConfig
當您 AWS Config 在組織中啟用 時,會建立此角色,方法是建立多帳戶 aggregator. AWS Config as 以選取或建立角色,並要求您提供名稱。沒有自動產生的名稱。
只有在您停用 AWS Config 和 Organizations 之間的受信任存取,或者從組織中刪除成員帳戶時,才能移除或修改此角色。
使用 AWS Config啟用受信任的存取
如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可。
您可以使用 AWS Config 主控台或 AWS Organizations 主控台啟用受信任存取。
重要
我們強烈建議您盡可能使用 AWS Config 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Config 執行其所需的任何組態,例如建立服務所需的資源。只有在您無法使用 AWS Config提供的工具啟用整合時,才能繼續執行這些步驟。如需詳細資訊,請參閱本說明。
如果您使用 AWS Config 主控台或工具啟用受信任存取,則不需要完成這些步驟。
使用 AWS Config 主控台啟用受信任存取
若要 AWS Organizations 使用 啟用對 的信任存取 AWS Config,請建立多帳戶彙總器並新增組織。如需有關如何設定多帳戶彙總器的資訊,請參閱 AWS Config 開發人員指南 中的建立彙總器。
您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令,或呼叫其中一個 中的 API操作來啟用受信任存取 AWS SDKs。
使用 AWS Config停用受信任的存取
如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可。
您只能使用 Organizations 工具來停用受信任的存取。
您可以透過執行 Organizations AWS CLI 命令,或呼叫其中一個 中的 Organizations API操作來停用受信任的存取 AWS SDKs。
