

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Config
<a name="automation-ref-cc"></a>

 AWS Systems Manager 自動化為 提供預先定義的 Runbook AWS Config。如需有關執行手冊的詳細資訊，請參閱 [Working with runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。如需如何檢視 Runbook 內容的詳細資訊，請參閱 [檢視 Runbook 內容](automation-runbook-reference.md#view-automation-json)。

**Topics**
+ [`AWSSupport-SetupConfig`](automation-aws-setup-config.md)

# `AWSSupport-SetupConfig`
<a name="automation-aws-setup-config"></a>

 **Description** 

 `AWSSupport-SetupConfig` Runbook 會建立 AWS Identity and Access Management (IAM) 服務連結角色、由 提供支援的組態記錄器 AWS Config，以及具有 Amazon Simple Storage Service (Amazon S3) 儲存貯體的交付管道，其中 會 AWS Config 傳送組態快照和組態歷史記錄檔案。如果您為 `AggregatorAccountId`和 `AggregatorAccountRegion` 參數指定值，則 Runbook 也會建立資料彙總的授權，以從多個 和多個 收集 AWS Config 組態 AWS 帳戶 和合規資料 AWS 區域。若要進一步了解如何從多個帳戶和區域彙總資料，請參閱《 *AWS Config 開發人員指南*》中的[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)。

 [執行此自動化 （主控台）](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupConfig) 

**文件類型**

 自動化

**擁有者**

Amazon

**平台**

Linux、macOS、 Windows

**參數**
+ AutomationAssumeRole

  類型：字串

  描述：（選用） 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色，Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。
+ AggregatorAccountId

  類型：字串

  描述：（選用） 將新增彙總器的 ID，以彙總來自多個帳戶和 AWS 帳戶 的 AWS Config 組態和合規資料 AWS 區域。彙總器也會使用此帳戶來授權來源帳戶。
+ AggregatorAccountRegion

  類型：字串

  描述：（選用） 將新增彙總器的區域，以彙總來自多個帳戶和區域的 AWS Config 組態和合規資料。
+ IncludeGlobalResourcesRegion

  類型：字串

  預設：us-east-1

  描述：（必要） 若要避免在每個區域中記錄全域資源資料，請指定一個區域來記錄全域資源資料。
+ 分區

  類型：字串

   預設：`aws`

  描述：（必要） 您要從中收集 AWS Config 組態和合規資料的分割區。
+ S3BucketName

  類型：字串

   預設：`aws-config-delivery-channel`

  描述：（選用） 您要套用至為交付管道建立的 Amazon S3 儲存貯體的名稱。帳戶 ID 會附加到名稱的結尾。

**必要的 IAM 許可**

`AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `config:DescribeConfigurationRecorders` 
+  `config:DescribeDeliveryChannels` 
+  `config:PutAggregationAuthorization` 
+  `config:PutConfigurationRecorder` 
+  `config:PutDeliveryChannel` 
+  `config:StartConfigurationRecorder` 
+  `iam:CreateServiceLinkedRole` 
+  `iam:PassRole` 
+  `s3:CreateBucket` 
+  `s3:ListAllMyBuckets` 
+  `s3:PutBucketPolicy` 

 **文件步驟** 
+  `aws:executeScript` - AWS Config 如果服務連結的 IAM 角色不存在，請為 建立該角色。
+  `aws:executeScript` - 如果組態記錄器不存在，則建立組態記錄器。
+  `aws:executeScript` - 建立 Amazon S3 儲存貯體，以便在交付管道尚未存在時使用。
+  `aws:executeScript` - 使用 Runbook 建立的資源建立交付管道。
+  `aws:executeAwsApi` - 啟動組態記錄器。
+  `aws:executeScript` - 如果您為 `AggregatorAccountId`和 `AggregatorAccountRegion` 參數指定值，則會設定多帳戶和多區域資料彙總的授權。