As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerar o relatório de status da conta para políticas declarativas
<a name="orgs_manage_policies_declarative_status-report"></a>

O *relatório de status da conta* permite que você revise o status atual de todos os atributos compatíveis com as políticas declarativas das contas no escopo. Você pode escolher as contas e as unidades organizacionais (OUs) a serem incluídas no escopo do relatório ou escolher uma organização inteira selecionando a raiz.

Esse relatório ajuda você a avaliar a prontidão fornecendo um detalhamento por região e se o estado atual de um atributo é *uniforme em todas as contas* (por meio de `numberOfMatchedAccounts`) ou *inconsistente* (por meio de `numberOfUnmatchedAccounts`). Você também pode ver o *valor mais frequente*, que é o valor de configuração observado com mais frequência para o atributo.

A opção de anexar uma política declarativa para impor uma configuração básica depende do seu caso de uso específico.

Para obter mais informações e um exemplo ilustrativo, consulte [Relatório de status da conta para políticas declarativas](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).

## Pré-requisitos
<a name="orgs_manage_policies_declarative_accessing-status-report-prerequisites"></a>

Antes de gerar um relatório de status da conta, você deve executar as seguintes etapas

1. A API `StartDeclarativePoliciesReport` só pode ser chamada pela conta gerencial ou pelos administradores delegados de uma organização.

1. Você deve ter um bucket do S3 antes de gerar o relatório (criar um novo ou usar um existente), ele deve estar na mesma região em que a solicitação é feita e deve ter uma política de bucket do S3 apropriada. Para obter um exemplo de política do S3, consulte *Exemplo de política do Amazon S3* em [Exemplos ](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) na *Referência da API do Amazon EC2* 

1. Você deve habilitar o acesso confiável para o serviço onde a política declarativa imporá uma configuração básica. Isso cria uma função vinculada ao serviço com permissão somente leitura, que é usada para gerar o relatório de status da conta, mostrando qual é a configuração atual das contas em toda a sua organização.

   **Como usar o console**

   Para o console do Organizations, essa etapa faz parte do processo de habilitação de políticas declarativas.

   **Usando o AWS CLI**

   Para o AWS CLI, use a API [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

   Para obter mais informações sobre como habilitar o acesso confiável para um serviço específico com o AWS CLI consulte, [Serviços da AWS que você pode usar com AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).

1. Somente um relatório por organização pode ser gerado por vez. Uma tentativa de gerar um relatório enquanto outro estiver em andamento resultará em um erro.

## Acessar o relatório de status de conformidade
<a name="orgs_manage_policies_declarative_accessing-status-report"></a>

**Permissões mínimas**  
Para gerar um relatório de status de conformidade, você precisa de permissão para executar as seguintes ações:  
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`

**nota**  
Se o bucket do Amazon S3 usa criptografia SSE-KMS, você também deve incluir a permissão `kms:GenerateDataKey` na política.

------
#### [ Console de gerenciamento da AWS ]

Use o procedimento a seguir para gerar um relatório do status da conta.

**Para gerar um relatório de status da conta**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. Na página **Políticas**, escolha **Políticas declarativas para EC2**.

1. Na página **Políticas declarativas para EC2**, escolha **Exibir relatório de status da conta** no menu suspenso **Ações**.

1. Na página **Exibir relatório de status da conta**, escolha **Gerar relatório de status**.

1. No widget **Estrutura organizacional**, especifique quais unidades organizacionais (OUs) você deseja incluir no relatório.

1. Selecione **Enviar**.

------
#### [ AWS CLI & AWS SDKs ]

**Para gerar um relatório de status da conta**

Os campos disponíveis para este atributo são os seguintes: Utilize as seguintes operações para gerar um relatório de conformidade, verificar o status e visualizar o relatório:
+ `ec2:start-declarative-policies-report`: gera um relatório de status da conta. O relatório é gerado de forma assíncrona, e pode levar várias horas para ser concluído. Para obter mais informações, consulte [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html) na *Referência de API do Amazon EC2*.
+ `ec2:describe-declarative-policies-report`: descreve os metadados de um relatório de status da conta, incluindo o estado do relatório. Para obter mais informações, consulte [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html) na *Referência de API do Amazon EC2*.
+ `ec2:get-declarative-policies-report-summary`: recupera um resumo do relatório de status da conta. Para obter mais informações, consulte [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html) na *Referência de API do Amazon EC2*.
+ `ec2:cancel-declarative-policies-report`: cancela a geração de um relatório de status da conta. Para obter mais informações, consulte [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html) na *Referência de API do Amazon EC2*.

Antes de gerar um relatório, conceda à entidade principal das políticas declarativas do EC2 acesso ao bucket do Amazon S3 onde o relatório será armazenado. Para isso, associe a seguinte política ao bucket. Substitua `amzn-s3-demo-bucket` pelo nome real do bucket do Amazon S3, e `identity_ARN` pela identidade do IAM usada para chamar a API `StartDeclarativePoliciesReport`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
```

------

------