As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerando o relatório de status da conta para políticas do EC2
O relatório de status da conta permite que você revise o status atual de todos os atributos suportados pelas políticas do EC2 para as contas no escopo. Você pode escolher as contas e unidades organizacionais (UOs) a serem incluídas no escopo do relatório ou escolher uma organização inteira selecionando a raiz.
Esse relatório ajuda você a avaliar a prontidão fornecendo um detalhamento por região e se o estado atual de um atributo é uniforme em todas as contas (por meio de numberOfMatchedAccounts) ou inconsistente (por meio de numberOfUnmatchedAccounts). Você também pode ver o valor mais frequente, que é o valor de configuração observado com mais frequência para o atributo.
A anexação de uma política do EC2 para impor uma configuração básica depende do seu caso de uso específico.
Para obter mais informações e um exemplo ilustrativo, consulte Relatório de status da conta para políticas do EC2.
Pré-requisitos
Antes de gerar um relatório de status da conta, conclua as seguintes etapas:
-
A
StartDeclarativePoliciesReportoperação só pode ser chamada pela conta de gerenciamento ou pelos administradores delegados de uma organização. -
Para executar relatórios de uma conta de administrador delegado, a conta deve ser registrada como administrador delegado para o serviço EC2.
-
Você deve ter um bucket do S3 antes de gerar o relatório. Crie um novo bucket ou use um existente. O bucket deve estar na mesma região em que você faz a solicitação. O bucket deve ter uma política de bucket apropriada. Para obter um exemplo de política do S3, consulte Exemplo de política do Amazon S3 em Exemplos na Referência da API do Amazon EC2
-
Você deve habilitar o acesso confiável para o Amazon EC2. Isso cria uma função vinculada ao serviço somente para leitura que gera o relatório de status da conta da configuração existente para contas em toda a sua organização.
Como usar o console
Para o console Organizations, essa etapa faz parte do processo de habilitação das políticas do EC2.
Usando o AWS CLI
Para o AWS CLI, use a EnableAWSServiceAccessoperação.
Para obter mais informações sobre como habilitar o acesso confiável para um serviço específico com o AWS CLI, consulte o Serviços da AWS que você pode usar com AWS Organizations.
-
Somente um relatório por organização pode ser gerado por vez. Se você gerar um relatório enquanto outro estiver em andamento, a operação retornará um erro.
Gerando o relatório de status de conformidade
Permissões mínimas
Para gerar um relatório de status de conformidade, você precisa de permissão para executar as seguintes operações:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
nota
Se seu bucket do Amazon S3 usa SSE-KMS criptografia, você também deve incluir a kms:GenerateDataKey permissão na política.