本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
產生 EC2 政策的帳戶狀態報告
帳戶狀態報告可讓您檢閱範圍內帳戶 EC2 政策支援的所有屬性的目前狀態。您可以選擇要包含在報告範圍中的帳戶和組織單位 (OUs),或選取根來選擇整個組織。
此報告透過提供區域明細,以及屬性的目前狀態跨帳戶 (透過 ) 是否一致或不一致 (透過 ),來協助您評估整備程度numberOfUnmatchedAccounts。 numberOfMatchedAccounts您也可以查看最常見的值,這是 屬性最常觀察到的組態值。
是否連接 EC2 政策以強制執行基準組態取決於您的特定使用案例。
如需詳細資訊和說明範例,請參閱 EC2 政策的帳戶狀態報告。
先決條件
在產生帳戶狀態報告之前,請先完成下列步驟:
-
只有管理帳戶或組織的委派管理員才能呼叫
StartDeclarativePoliciesReport此操作。 -
若要從委派管理員帳戶執行報告,該帳戶必須註冊為 EC2 服務的委派管理員。
-
您必須先擁有 S3 儲存貯體,才能產生報告。建立新的儲存貯體或使用現有的儲存貯體。儲存貯體必須位於您提出請求的相同區域。儲存貯體必須具有適當的儲存貯體政策。如需範例 S3 政策,請參閱《Amazon EC2 API 參考》中範例下的範例 Amazon S3 政策 https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples Amazon EC2
-
您必須啟用 Amazon EC2 的受信任存取。這會建立唯讀服務連結角色,為整個組織的帳戶產生現有組態的帳戶狀態報告。
使用主控台
針對 Organizations 主控台,此步驟是啟用 EC2 政策程序的一部分。
使用 AWS CLI
對於 AWS CLI,請使用 EnableAWSServiceAccess 操作。
如需如何使用 為特定服務啟用受信任存取的詳細資訊 AWS CLI,請參閱 AWS 服務 以搭配 使用 AWS Organizations。
-
每個組織一次只能產生一個報告。如果您在另一個報告進行時產生報告,操作會傳回錯誤。
產生合規狀態報告
最低許可
若要產生合規狀態報告,您需要執行下列操作的許可:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
注意
如果您的 Amazon S3 儲存貯體使用 SSE-KMS 加密,您還必須在政策中包含 kms:GenerateDataKey許可。