Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Generación del informe de estado de la cuenta para las políticas declarativas
El informe de estado de la cuenta permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puede elegir las cuentas y las unidades organizativas (OUs) que desea incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es uniforme en todas las cuentas (a través de numberOfMatchedAccounts) o incoherente (a través de numberOfUnmatchedAccounts). También puede consultar el valor más frecuente, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico.
Para obtener más información y un ejemplo ilustrativo, consulte Informe de estado de la cuenta para las políticas declarativas.
Requisitos previos
Antes de poder generar un informe de estado de la cuenta, debe realizar los siguientes pasos
-
Solo la cuenta de administración o los administradores delegados de una organización pueden llamar a la API de
StartDeclarativePoliciesReport. -
Debe tener un bucket de S3 antes de generar el informe (cree uno nuevo o utilice uno existente), el cual tiene que estar en la misma región en la que se realiza la solicitud y tener una política de bucket de S3 adecuada. Para ver un ejemplo de política de S3, consulte Ejemplo de política de Amazon S3 en Examples in the Amazon EC2 API Reference
-
Debe habilitar el acceso de confianza al servicio en el que la política declarativa impondrá una configuración básica. Esto crea una función vinculada al servicio de solo lectura que se utiliza para generar el informe de estado de la cuenta con la configuración existente para las cuentas de la organización.
Uso de la consola
Para la consola de Organizations, este paso forma parte del proceso para habilitar las políticas declarativas.
Usando la AWS CLI
Para ello AWS CLI, utilice la API Enable AWSService Access.
Para obtener más información sobre cómo habilitar el acceso confiable a un servicio específico, AWS CLI consulte, Servicios de AWS que puede usar con AWS Organizations.
-
Solo se puede generar un informe por organización a la vez. Se producirá un error si intenta generar un informe mientras hay otro en curso.
Acceda al informe de estado de conformidad
Permisos mínimos
Para generar un informe de estado de conformidad, necesita permiso para ejecutar las siguientes acciones:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
nota
Si su bucket de Amazon S3 utiliza el cifrado SSE-KMS, también debe incluir el permiso kms:GenerateDataKey en la política.
