View a markdown version of this page

產生 EC2 政策的帳戶狀態報告 - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

產生 EC2 政策的帳戶狀態報告

帳戶狀態報告可讓您檢閱範圍內帳戶 EC2 政策支援的所有屬性的目前狀態。您可以選擇要包含在報告範圍中的帳戶和組織單位 (OUs),或選取根來選擇整個組織。

此報告透過提供區域明細,以及屬性的目前狀態跨帳戶 (透過 ) 是否一致不一致 (透過 ),來協助您評估整備程度numberOfUnmatchedAccountsnumberOfMatchedAccounts您也可以查看最常見的值,這是 屬性最常觀察到的組態值。

是否連接 EC2 政策以強制執行基準組態取決於您的特定使用案例。

如需詳細資訊和說明範例,請參閱 EC2 政策的帳戶狀態報告

先決條件

在產生帳戶狀態報告之前,請先完成下列步驟:

  1. 只有管理帳戶或組織的委派管理員才能呼叫StartDeclarativePoliciesReport此操作。

  2. 若要從委派管理員帳戶執行報告,該帳戶必須註冊為 EC2 服務的委派管理員。

  3. 您必須先擁有 S3 儲存貯體,才能產生報告。建立新的儲存貯體或使用現有的儲存貯體。儲存貯體必須位於您提出請求的相同區域。儲存貯體必須具有適當的儲存貯體政策。如需範例 S3 政策,請參閱《Amazon EC2 API 參考》中範例下的範例 Amazon S3 政策 https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples Amazon EC2

  4. 您必須啟用 Amazon EC2 的受信任存取。這會建立唯讀服務連結角色,為整個組織的帳戶產生現有組態的帳戶狀態報告。

    使用主控台

    針對 Organizations 主控台,此步驟是啟用 EC2 政策程序的一部分。

    使用 AWS CLI

    對於 AWS CLI,請使用 EnableAWSServiceAccess 操作。

    如需如何使用 為特定服務啟用受信任存取的詳細資訊 AWS CLI,請參閱 AWS 服務 以搭配 使用 AWS Organizations

  5. 每個組織一次只能產生一個報告。如果您在另一個報告進行時產生報告,操作會傳回錯誤。

產生合規狀態報告

最低許可

若要產生合規狀態報告,您需要執行下列操作的許可:

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

注意

如果您的 Amazon S3 儲存貯體使用 SSE-KMS 加密,您還必須在政策中包含 kms:GenerateDataKey許可。

AWS 管理主控台

使用下列程序來產生帳戶狀態報告。

產生帳戶狀態報告
  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 政策頁面上,選擇 EC2 政策

  3. EC2 政策頁面上,從動作下拉式功能表中選擇檢視帳戶狀態報告

  4. 檢視帳戶狀態報告頁面上,選擇產生狀態報告

  5. 組織結構小工具中,指定您要包含在報告中的組織單位 OUs)。

  6. 選擇提交

AWS CLI & AWS SDKs

產生帳戶狀態報告

使用下列操作來產生合規狀態報告、檢查其狀態,以及檢視報告:

  • ec2:start-declarative-policies-report:產生帳戶狀態報告。報告會以非同步方式產生,可能需要數小時才能完成。如需詳細資訊,請參閱《Amazon EC2 API 參考》中的 StartDeclarativePoliciesReport

  • ec2:describe-declarative-policies-report:描述帳戶狀態報告的中繼資料,包括報告的狀態。如需詳細資訊,請參閱《Amazon EC2 API 參考》中的 DescribeDeclarativePoliciesReports

  • ec2:get-declarative-policies-report-summary:擷取帳戶狀態報告的摘要。如需詳細資訊,請參閱《Amazon EC2 API 參考》中的 GetDeclarativePoliciesReportSummary

  • ec2:cancel-declarative-policies-report:取消產生帳戶狀態報告。如需詳細資訊,請參閱《Amazon EC2 API 參考》中的 CancelDeclarativePoliciesReport

產生報告之前,請將儲存報告之 Amazon S3 儲存貯體的存取權授予 EC2 政策委託人。若要執行此作業,請將下列政策連接至 儲存貯體。將 取代amzn-s3-demo-bucket為您實際的 Amazon S3 儲存貯體名稱,並將 identity_ARN取代為用於呼叫 StartDeclarativePoliciesReport操作的 IAM 身分。

下列 JSON 政策會授予將報告交付至儲存貯體的存取權:

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }