如何在多个 AWS 账户中设置和使用 AWS Config?

1 分钟阅读
0

我想在多个 AWS 区域和 AWS 账户中设置和使用 AWS Config。

简短描述

使用 AWS Systems Manager AWSSupport-SetupConfig 运行手册创建 AWS Identity and Access Management (IAM) 服务关联角色、基于 AWS Config 的配置记录器,以及带有 Amazon Simple Storage Service (Amazon S3) 存储桶的传输通道,AWS Config 可在其中发送配置快照和配置历史文件。

该运行手册还可以为数据聚合创建授权,以从多个 AWS 区域和账户收集 AWS Config 配置及合规性数据。有关详细信息,请参阅多账户多区域数据聚合

解决方法

先决条件

在启动运行手册之前,请确保您的 IAM 实体(用户或角色)拥有所需的权限。有关详细信息,请参阅 AWSSupport-SetupConfig 中的 Required IAM permissions(所需的 IAM 权限)。

对于多区域设置和多账户设置,需要使用 AWS-SystemsManager-AutomationExecutionRole 角色来运行自动化。有关详细信息,请参阅在多个 AWS 区域和账户中运行自动化

运行 AWSSupport-SetupConfig 运行手册

  1. 打开 Systems Manager 控制台
  2. 在导航窗格中,选择 Documents(文档)。
  3. 在搜索栏中,输入“AWSSupport-SetupConfig”。
  4. 选择 AWSSupport-SetupConfig 文档,然后选择 Execute automation(执行自动化)。
  5. 对于 Input parameters(输入参数),输入以下内容:
    **AutomationAssumeRole:**输入允许 Automation 为您执行操作的 IAM 角色的 ARN。如果未指定角色,则 Automation 将不会启动。
    **AggregatorAccountId(可选):聚合 AWS Config 数据的 AWS 账户 ID。此 ID 用于对源账户进行授权。
    AggregatorAccountRegion
    (可选):**添加聚合器以聚合来自多个账户和区域的 AWS Config 配置和合规性数据的区域。此区域用于授权源账户。
    **IncludeGlobalResourcesRegion:**为避免在每个区域中记录全球资源数据,请指定一个区域来记录全球资源数据。
    **Partition:**您要从中收集 AWS Config 配置和合规性数据的分区。
    **S3BucketName:**AWS Config 传输通道的 Amazon S3 存储桶名称。提供的名称后面附有 '-[AWS 账户 ID]'。默认名称为“aws-config-delivery-channel”。
  6. 选择 Execute(执行)。运行手册执行以下步骤:
    **CreateServiceLinkedRole:**为 AWS Config 创建服务关联的 IAM 角色(如果尚不存在)。
    **CreateRecorder:**创建配置记录器(如果尚不存在)。
    **CreateBucket:**创建传输通道使用的 Amazon S3 存储桶(如果尚不存在)。
    **CreateDeliveryChannel:**使用运行手册资源创建传输通道。
    **StartRecorder:**启动配置记录器。
    **PutAggregationAuthorization:**如果您为 AggregatorAccountIdAggregatorAccountRegion 参数指定了值,则会配置多账户和多区域数据聚合的授权。
  7. 运行手册完成后,打开 Amazon S3 控制台。确认 S3 存储桶是由传输通道创建的。此外,确认 AWS 账户或区域的 AWS Config 设置。

相关信息

Systems Manager Automation 运行手册参考

运行自动化

设置自动化

AWS 官方
AWS 官方已更新 1 年前