Comment puis-je configurer et utiliser AWS Config sur plusieurs comptes AWS ?

Lecture de 3 minute(s)

Je souhaite configurer et utiliser AWS Config dans plusieurs régions AWS et comptes AWS.

Brève description

Utilisez le dossier d’exploitation AWSSupport-SetupConfig pour créer un rôle lié à un service AWS Identity and Access Management (IAM), un enregistreur de configuration optimisé par AWS Config et un canal de diffusion avec un compartiment Amazon Simple Storage Service (Amazon S3) dans lequel AWS Config envoie des instantanés de configuration et des fichiers d'historique de configuration.

Ce dossier d’exploitation peut également créer des autorisations pour l'agrégation de données afin de collecter les données de configuration et de conformité AWS Config provenant de plusieurs régions et comptes AWS. Pour plus d'informations, consultez la section Agrégation de données multi-région et multi-compte.

Résolution

Prérequis

Avant de démarrer le dossier d’exploitation, assurez-vous que votre entité IAM (utilisateur ou rôle) dispose des autorisations requises. Pour plus d'informations, consultez la section Autorisations IAM requises dans AWSSupport-SetupConfig.

Pour la configuration multi-région et multi-compte, le rôle AWS-SystemsManager-AutomationExecutionRole est requis pour exécuter les automatisations. Pour plus d'informations, consultez la section Exécution d'automatisations dans plusieurs régions et comptes AWS.

Exécuter le dossier d’exploitation AWSSupport-SetupConfig

Ouvrez la console Systems Manager.
Dans le volet de navigation, sélectionnez Documents.
Dans la barre de recherche, saisissez « AWSSupport-SetupConfig ».
Sélectionnez le document AWSSupport-SetupConfig, puis choisissez Exécuter l’automatisation.
Saisissez les informations suivantes dans les paramètres d'entrée :
AutomationAssumeRole : Saisissez l'ARN du rôle IAM qui permet à Automation d'effectuer des actions à votre place. Si aucun rôle n'est spécifié, l'automatisation ne démarre pas.
AggregatorAccountId (facultatif) : ID de compte AWS via lequel les données AWS Config sont agrégées. Cet ID est utilisé pour autoriser les comptes sources.
**AggregatorAccountRegion ** (facultatif) : Région dans laquelle un agrégateur est ajouté pour agréger les données de configuration et de conformité AWS Config provenant de plusieurs comptes et régions. Cette région est utilisée pour autoriser les comptes sources.
IncludeGlobalResourcesRegion : Pour éviter d'enregistrer des données de ressources globales dans chaque région, spécifiez une région à partir de laquelle enregistrer les données de ressources globales.
Partition : Partition à partir de laquelle vous souhaitez collecter les données de configuration et de conformité AWS Config.
S3BucketName : Nom du compartiment Amazon S3 pour le canal de diffusion AWS Config. Le nom fourni est ajouté par '-[AWS Account ID]'. Le nom par défaut est « aws-config-delivery-channel ».
Sélectionnez Exécuter. Le dossier d’exploitation exécute les étapes suivantes :
CreateServiceLinkedRole : Crée un rôle IAM lié à un service pour AWS Config s'il n'en existe pas déjà un.
CreateRecorder : Crée un enregistreur de configuration s'il n'en existe pas déjà un.
CreateBucket : Crée un compartiment Amazon S3 utilisé par le canal de diffusion s'il n'en existe pas déjà un.
CreateDeliveryChannel : Crée un canal de diffusion avec les ressources du dossier d’exploitation.
StartRecorder : Lance l'enregistreur de configuration.
PutAggregationAuthorization : Si vous avez spécifié des valeurs pour les paramètres AggregatorAccountId et AggregatorAccountRegion, les autorisations pour l'agrégation de données multi-région et multi-compte sont configurées.
Une fois le dossier d’exploitation terminé, ouvrez la console Amazon S3. Vérifiez que le compartiment S3 a été créé par le canal de diffusion. Vérifiez également la configuration d'AWS Config pour les comptes ou les régions AWS.

Informations connexes

Référence du dossier d’exploitation Systems Manager Automation

Exécuter une automatisation

Configuration de l'automatisation

Sujets: Management & Governance End User Computing
Balises: AWS Support Automation Workflows AWS Config
Langue: Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

configurer plusieurs régions dans le fichier de configuration de Textract
rePost-User-4710275
demandé il y a un an
Problème de connexion - Compte AWS
Thomas M
demandé il y a un an
Utiliser plusieurs répertoires différents avec AWS Workdocs Drive
Julien MAUCLAIR
demandé il y a 2 ans
Compte suspendu
Gautier
demandé il y a un an
J'ai un nom de domaine sur un compte fermé et je voudrais le résilier mais je peux pas
nathan
demandé il y a un an
Pourquoi mes données AWS Config ne sont-elles pas collectées par l'agrégateur pour mon compte AWS ou mon compte AWS Organizations ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi est-ce que je reçois des erreurs lors de la configuration d'un compte membre d'AWS Organizations en tant qu'administrateur délégué pour les règles AWS Config ?
AWS OFFICIELA mis à jour il y a 5 ans
Comment puis-je recevoir des notifications personnalisées par e-mail lorsqu’une ressource est supprimée dans mon compte AWS à l’aide du service AWS Config ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment puis-je résoudre l’erreur « Action execution failed » grâce à la correction automatique de la règle s3-bucket-logging-enabled d’AWS Config ?
AWS OFFICIELA mis à jour il y a 2 ans