Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Generación del informe de estado de la cuenta para las políticas de EC2
El informe de estado de la cuenta le permite revisar el estado actual de todos los atributos compatibles con las políticas de EC2 para las cuentas incluidas en el ámbito de aplicación. Puede elegir las cuentas y unidades organizativas (UO) que desee incluir en el ámbito del informe, o bien elegir una organización entera seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es uniforme en todas las cuentas (a través de numberOfMatchedAccounts) o incoherente (a través de numberOfUnmatchedAccounts). También puede consultar el valor más frecuente, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
La posibilidad de adjuntar una política de EC2 para aplicar una configuración básica depende del caso de uso específico.
Para obtener más información y un ejemplo ilustrativo, consulte Informe de estado de la cuenta para las políticas de EC2.
Requisitos previos
Antes de poder generar un informe de estado de la cuenta, complete los siguientes pasos:
-
Solo la cuenta de administración o los administradores delegados de una organización pueden llamar a la
StartDeclarativePoliciesReportoperación. -
Para ejecutar informes desde una cuenta de administrador delegado, la cuenta debe estar registrada como administrador delegado del servicio EC2.
-
Debe disponer de un bucket de S3 antes de generar el informe. Cree un depósito nuevo o utilice uno existente. El depósito debe estar en la misma región en la que realizaste la solicitud. El depósito debe tener una política de depósito adecuada. Para ver un ejemplo de política de S3, consulte Ejemplo de política de Amazon S3 en Ejemplos de la Referencia de la API de Amazon EC2.
-
Debe habilitar el acceso de confianza para Amazon EC2. Esto crea un rol vinculado al servicio de solo lectura que genera el informe de estado de la configuración existente para las cuentas de toda la organización.
Uso de la consola
Para la consola Organizations, este paso forma parte del proceso de activación de las políticas de EC2.
Utilización del AWS CLI
Para el AWS CLI, utilice la EnableAWSServiceAccessoperación.
Para obtener más información sobre cómo habilitar el acceso confiable a un servicio específico con AWS CLI, consulte lo Servicios de AWS que puede usar con AWS Organizations.
-
Solo se puede generar un informe por organización a la vez. Si genera un informe mientras hay otro en curso, la operación devolverá un error.
Generar el informe de estado de conformidad
Permisos mínimos
Para generar un informe de estado de conformidad, necesita permiso para ejecutar las siguientes operaciones:
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
nota
Si su bucket de Amazon S3 utiliza SSE-KMS cifrado, también debe incluir el kms:GenerateDataKey permiso en la política.