View a markdown version of this page

Membuat laporan status akun untuk kebijakan EC2 - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat laporan status akun untuk kebijakan EC2

Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan EC2 untuk akun dalam cakupan. Anda dapat memilih akun dan unit organisasi (OU) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.

Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini seragam di seluruh akun (melaluinumberOfMatchedAccounts) atau tidak konsisten (melalui). numberOfUnmatchedAccounts Anda juga dapat melihat nilai yang paling sering, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.

Apakah akan melampirkan kebijakan EC2 untuk menegakkan konfigurasi dasar tergantung pada kasus penggunaan spesifik Anda.

Untuk informasi lebih lanjut dan contoh ilustratif, lihatLaporan status akun untuk kebijakan EC2.

Prasyarat

Sebelum Anda dapat membuat laporan status akun, selesaikan langkah-langkah berikut:

  1. StartDeclarativePoliciesReportOperasi hanya dapat dipanggil oleh akun manajemen atau administrator yang didelegasikan untuk suatu organisasi.

  2. Untuk menjalankan laporan dari akun administrator yang didelegasikan, akun harus terdaftar sebagai administrator yang didelegasikan untuk layanan EC2.

  3. Anda harus memiliki bucket S3 sebelum membuat laporan. Buat ember baru atau gunakan yang sudah ada. Ember harus berada di Wilayah yang sama tempat Anda mengajukan permintaan. Bucket harus memiliki kebijakan bucket yang sesuai. Untuk contoh kebijakan S3, lihat Contoh kebijakan Amazon S3 di bawah Contoh di Referensi API Amazon EC2

  4. Anda harus mengaktifkan akses tepercaya untuk Amazon EC2. Ini membuat peran terkait layanan hanya-baca yang menghasilkan laporan status akun dari konfigurasi yang ada untuk akun di seluruh organisasi Anda.

    Menggunakan konsol

    Untuk konsol Organizations, langkah ini merupakan bagian dari proses untuk mengaktifkan kebijakan EC2.

    Menggunakan AWS CLI

    Untuk AWS CLI, gunakan EnableAWSServiceAccessoperasi.

    Untuk informasi selengkapnya tentang cara mengaktifkan akses tepercaya untuk layanan tertentu dengan AWS CLI, lihat Layanan AWS bahwa Anda dapat menggunakannya AWS Organizations.

  5. Hanya satu laporan per organisasi yang dapat dihasilkan dalam satu waktu. Jika Anda membuat laporan saat laporan lain sedang berlangsung, operasi mengembalikan kesalahan.

Menghasilkan laporan status kepatuhan

Izin minimum

Untuk membuat laporan status kepatuhan, Anda memerlukan izin untuk menjalankan operasi berikut:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

catatan

Jika bucket Amazon S3 Anda menggunakan SSE-KMS enkripsi, Anda juga harus menyertakan kms:GenerateDataKey izin dalam kebijakan.

Konsol Manajemen AWS

Gunakan prosedur berikut untuk membuat laporan status akun.

Untuk membuat laporan status akun
  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root (tidak direkomendasikan) di akun pengelolaan organisasi.

  2. Pada halaman Kebijakan, pilih kebijakan EC2.

  3. Pada halaman kebijakan EC2, pilih Lihat laporan status akun dari menu tarik-turun Tindakan.

  4. Pada halaman Lihat laporan status akun, pilih Buat laporan status.

  5. Di widget Struktur organisasi, tentukan unit organisasi (OU) mana yang ingin Anda sertakan dalam laporan.

  6. Pilih Kirim.

AWS CLI & AWS SDKs

Untuk membuat laporan status akun

Gunakan operasi berikut untuk membuat laporan status kepatuhan, memeriksa statusnya, dan melihat laporan:

  • ec2:start-declarative-policies-report: Menghasilkan laporan status akun. Laporan dibuat secara asinkron, dan dapat memakan waktu beberapa jam untuk menyelesaikannya. Untuk informasi selengkapnya, lihat StartDeclarativePoliciesReport dalam Referensi API Amazon EC2.

  • ec2:describe-declarative-policies-report: Menjelaskan metadata laporan status akun, termasuk status laporan. Untuk informasi selengkapnya, lihat DescribeDeclarativePoliciesReports dalam Referensi API Amazon EC2.

  • ec2:get-declarative-policies-report-summary: Mengambil ringkasan laporan status akun. Untuk informasi selengkapnya, lihat GetDeclarativePoliciesReportSummary dalam Referensi API Amazon EC2.

  • ec2:cancel-declarative-policies-report: Membatalkan pembuatan laporan status akun. Untuk informasi selengkapnya, lihat CancelDeclarativePoliciesReport dalam Referensi API Amazon EC2.

Sebelum Anda membuat laporan, berikan akses utama kebijakan EC2 ke bucket Amazon S3 tempat laporan akan disimpan. Untuk melakukan ini, lampirkan kebijakan berikut ke ember. Ganti amzn-s3-demo-bucket dengan nama bucket Amazon S3 Anda yang sebenarnya, dan identity_ARN dengan identitas IAM yang digunakan untuk memanggil operasi. StartDeclarativePoliciesReport

Kebijakan JSON berikut memberikan akses untuk mengirimkan laporan ke bucket Anda:

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }