View a markdown version of this page

Generación del informe de estado de la cuenta para las políticas de EC2 - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Generación del informe de estado de la cuenta para las políticas de EC2

El informe de estado de la cuenta le permite revisar el estado actual de todos los atributos compatibles con las políticas de EC2 para las cuentas incluidas en el ámbito de aplicación. Puede elegir las cuentas y unidades organizativas (UO) que desee incluir en el ámbito del informe, o bien elegir una organización entera seleccionando la raíz.

Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es uniforme en todas las cuentas (a través de numberOfMatchedAccounts) o incoherente (a través de numberOfUnmatchedAccounts). También puede consultar el valor más frecuente, el cual es el valor de configuración que se observa con más frecuencia para el atributo.

La posibilidad de adjuntar una política de EC2 para aplicar una configuración básica depende del caso de uso específico.

Para obtener más información y un ejemplo ilustrativo, consulte Informe de estado de la cuenta para las políticas de EC2.

Requisitos previos

Antes de poder generar un informe de estado de la cuenta, complete los siguientes pasos:

  1. Solo la cuenta de administración o los administradores delegados de una organización pueden llamar a la StartDeclarativePoliciesReport operación.

  2. Para ejecutar informes desde una cuenta de administrador delegado, la cuenta debe estar registrada como administrador delegado del servicio EC2.

  3. Debe disponer de un bucket de S3 antes de generar el informe. Cree un depósito nuevo o utilice uno existente. El depósito debe estar en la misma región en la que realizaste la solicitud. El depósito debe tener una política de depósito adecuada. Para ver un ejemplo de política de S3, consulte Ejemplo de política de Amazon S3 en Ejemplos de la Referencia de la API de Amazon EC2.

  4. Debe habilitar el acceso de confianza para Amazon EC2. Esto crea un rol vinculado al servicio de solo lectura que genera el informe de estado de la configuración existente para las cuentas de toda la organización.

    Uso de la consola

    Para la consola Organizations, este paso forma parte del proceso de activación de las políticas de EC2.

    Utilización del AWS CLI

    Para el AWS CLI, utilice la EnableAWSServiceAccessoperación.

    Para obtener más información sobre cómo habilitar el acceso confiable a un servicio específico con AWS CLI, consulte lo Servicios de AWS que puede usar con AWS Organizations.

  5. Solo se puede generar un informe por organización a la vez. Si genera un informe mientras hay otro en curso, la operación devolverá un error.

Generar el informe de estado de conformidad

Permisos mínimos

Para generar un informe de estado de conformidad, necesita permiso para ejecutar las siguientes operaciones:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

nota

Si su bucket de Amazon S3 utiliza SSE-KMS cifrado, también debe incluir el kms:GenerateDataKey permiso en la política.

Consola de administración de AWS

Utilice el siguiente procedimiento para generar un informe de estado de la cuenta.

Cómo generar un informe de estado de la cuenta
  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas, elija las políticas de EC2.

  3. En la página de políticas de EC2, seleccione Ver el informe de estado de la cuenta en el menú desplegable Acciones.

  4. En la página Ver informe de estado de la cuenta, seleccione Generar informe de estado.

  5. En el widget Estructura organizativa, especifique las unidades organizativas (UO) que desea incluir en el informe.

  6. Seleccione Enviar.

AWS CLI & AWS SDKs

Cómo generar un informe de estado de la cuenta

Utilice las siguientes operaciones para generar un informe de estado de conformidad, comprobar su estado y ver el informe:

  • ec2:start-declarative-policies-report: genera un informe de estado de la cuenta. Este informe se genera de forma asíncrona y puede demorarse varias horas. Para obtener más información, consulte StartDeclarativePoliciesReport en Referencia de la API de Amazon EC2.

  • ec2:describe-declarative-policies-report: describe los metadatos de un informe de estado de la cuenta, entre ellos, el estado del informe. Para obtener más información, consulte DescribeDeclarativePoliciesReports en Referencia de la API de Amazon EC2.

  • ec2:get-declarative-policies-report-summary: recupera un resumen del informe de estado de la cuenta. Para obtener más información, consulte GetDeclarativePoliciesReportSummary en Referencia de la API de Amazon EC2.

  • ec2:cancel-declarative-policies-report: cancela la generación de un informe de estado de la cuenta. Para obtener más información, consulte CancelDeclarativePoliciesReport en Referencia de la API de Amazon EC2.

Antes de generar un informe, conceda a las políticas de EC2 el acceso principal al bucket de Amazon S3 en el que se almacenará el informe. Para ello, asocie la siguiente política al bucket. amzn-s3-demo-bucketSustitúyalo por el nombre real del bucket de Amazon S3 y identity_ARN por la identidad de IAM utilizada para llamar a la StartDeclarativePoliciesReport operación.

La siguiente política de JSON otorga acceso para entregar el informe a tu bucket:

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }