Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat laporan status akun untuk kebijakan EC2
Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan EC2 untuk akun dalam cakupan. Anda dapat memilih akun dan unit organisasi (OU) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.
Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini seragam di seluruh akun (melaluinumberOfMatchedAccounts) atau tidak konsisten (melalui). numberOfUnmatchedAccounts Anda juga dapat melihat nilai yang paling sering, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.
Apakah akan melampirkan kebijakan EC2 untuk menegakkan konfigurasi dasar tergantung pada kasus penggunaan spesifik Anda.
Untuk informasi lebih lanjut dan contoh ilustratif, lihatLaporan status akun untuk kebijakan EC2.
Prasyarat
Sebelum Anda dapat membuat laporan status akun, selesaikan langkah-langkah berikut:
-
StartDeclarativePoliciesReportOperasi hanya dapat dipanggil oleh akun manajemen atau administrator yang didelegasikan untuk suatu organisasi. -
Untuk menjalankan laporan dari akun administrator yang didelegasikan, akun harus terdaftar sebagai administrator yang didelegasikan untuk layanan EC2.
-
Anda harus memiliki bucket S3 sebelum membuat laporan. Buat ember baru atau gunakan yang sudah ada. Ember harus berada di Wilayah yang sama tempat Anda mengajukan permintaan. Bucket harus memiliki kebijakan bucket yang sesuai. Untuk contoh kebijakan S3, lihat Contoh kebijakan Amazon S3 di bawah Contoh di Referensi API Amazon EC2
-
Anda harus mengaktifkan akses tepercaya untuk Amazon EC2. Ini membuat peran terkait layanan hanya-baca yang menghasilkan laporan status akun dari konfigurasi yang ada untuk akun di seluruh organisasi Anda.
Menggunakan konsol
Untuk konsol Organizations, langkah ini merupakan bagian dari proses untuk mengaktifkan kebijakan EC2.
Menggunakan AWS CLI
Untuk AWS CLI, gunakan EnableAWSServiceAccessoperasi.
Untuk informasi selengkapnya tentang cara mengaktifkan akses tepercaya untuk layanan tertentu dengan AWS CLI, lihat Layanan AWS bahwa Anda dapat menggunakannya AWS Organizations.
-
Hanya satu laporan per organisasi yang dapat dihasilkan dalam satu waktu. Jika Anda membuat laporan saat laporan lain sedang berlangsung, operasi mengembalikan kesalahan.
Menghasilkan laporan status kepatuhan
Izin minimum
Untuk membuat laporan status kepatuhan, Anda memerlukan izin untuk menjalankan operasi berikut:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
catatan
Jika bucket Amazon S3 Anda menggunakan SSE-KMS enkripsi, Anda juga harus menyertakan kms:GenerateDataKey izin dalam kebijakan.