View a markdown version of this page

Gerando o relatório de status da conta para políticas do EC2 - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerando o relatório de status da conta para políticas do EC2

O relatório de status da conta permite que você revise o status atual de todos os atributos suportados pelas políticas do EC2 para as contas no escopo. Você pode escolher as contas e unidades organizacionais (UOs) a serem incluídas no escopo do relatório ou escolher uma organização inteira selecionando a raiz.

Esse relatório ajuda você a avaliar a prontidão fornecendo um detalhamento por região e se o estado atual de um atributo é uniforme em todas as contas (por meio de numberOfMatchedAccounts) ou inconsistente (por meio de numberOfUnmatchedAccounts). Você também pode ver o valor mais frequente, que é o valor de configuração observado com mais frequência para o atributo.

A anexação de uma política do EC2 para impor uma configuração básica depende do seu caso de uso específico.

Para obter mais informações e um exemplo ilustrativo, consulte Relatório de status da conta para políticas do EC2.

Pré-requisitos

Antes de gerar um relatório de status da conta, conclua as seguintes etapas:

  1. A StartDeclarativePoliciesReport operação só pode ser chamada pela conta de gerenciamento ou pelos administradores delegados de uma organização.

  2. Para executar relatórios de uma conta de administrador delegado, a conta deve ser registrada como administrador delegado para o serviço EC2.

  3. Você deve ter um bucket do S3 antes de gerar o relatório. Crie um novo bucket ou use um existente. O bucket deve estar na mesma região em que você faz a solicitação. O bucket deve ter uma política de bucket apropriada. Para obter um exemplo de política do S3, consulte Exemplo de política do Amazon S3 em Exemplos na Referência da API do Amazon EC2

  4. Você deve habilitar o acesso confiável para o Amazon EC2. Isso cria uma função vinculada ao serviço somente para leitura que gera o relatório de status da conta da configuração existente para contas em toda a sua organização.

    Como usar o console

    Para o console Organizations, essa etapa faz parte do processo de habilitação das políticas do EC2.

    Usando o AWS CLI

    Para o AWS CLI, use a EnableAWSServiceAccessoperação.

    Para obter mais informações sobre como habilitar o acesso confiável para um serviço específico com o AWS CLI, consulte o Serviços da AWS que você pode usar com AWS Organizations.

  5. Somente um relatório por organização pode ser gerado por vez. Se você gerar um relatório enquanto outro estiver em andamento, a operação retornará um erro.

Gerando o relatório de status de conformidade

Permissões mínimas

Para gerar um relatório de status de conformidade, você precisa de permissão para executar as seguintes operações:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

nota

Se seu bucket do Amazon S3 usa SSE-KMS criptografia, você também deve incluir a kms:GenerateDataKey permissão na política.

Console de gerenciamento da AWS

Use o procedimento a seguir para gerar um relatório do status da conta.

Para gerar um relatório de status da conta
  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Políticas, escolha políticas do EC2.

  3. Na página de políticas do EC2, escolha Exibir relatório de status da conta no menu suspenso Ações.

  4. Na página Exibir relatório de status da conta, escolha Gerar relatório de status.

  5. No widget Estrutura organizacional, especifique quais unidades organizacionais (UOs) você deseja incluir no relatório.

  6. Selecione Enviar.

AWS CLI & AWS SDKs

Para gerar um relatório de status da conta

Os campos disponíveis para este atributo são os seguintes: Utilize as seguintes operações para gerar um relatório de conformidade, verificar o status e visualizar o relatório:

  • ec2:start-declarative-policies-report: gera um relatório de status da conta. O relatório é gerado de forma assíncrona, e pode levar várias horas para ser concluído. Para obter mais informações, consulte StartDeclarativePoliciesReport na Referência de API do Amazon EC2.

  • ec2:describe-declarative-policies-report: descreve os metadados de um relatório de status da conta, incluindo o estado do relatório. Para obter mais informações, consulte DescribeDeclarativePoliciesReports na Referência de API do Amazon EC2.

  • ec2:get-declarative-policies-report-summary: recupera um resumo do relatório de status da conta. Para obter mais informações, consulte GetDeclarativePoliciesReportSummary na Referência de API do Amazon EC2.

  • ec2:cancel-declarative-policies-report: cancela a geração de um relatório de status da conta. Para obter mais informações, consulte CancelDeclarativePoliciesReport na Referência de API do Amazon EC2.

Antes de gerar um relatório, conceda às políticas do EC2 acesso principal ao bucket do Amazon S3 onde o relatório será armazenado. Para isso, associe a seguinte política ao bucket. amzn-s3-demo-bucketSubstitua pelo nome real do bucket do Amazon S3 e identity_ARN pela identidade do IAM usada para chamar a StartDeclarativePoliciesReport operação.

A política JSON a seguir concede acesso para entregar o relatório ao seu bucket:

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }