View a markdown version of this page

Génération du rapport sur l'état du compte pour les politiques EC2 - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération du rapport sur l'état du compte pour les politiques EC2

Le rapport d'état du compte vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques EC2 pour les comptes concernés. Vous pouvez choisir les comptes et les unités organisationnelles (UO) à inclure dans le champ d'application du rapport, ou choisir une organisation entière en sélectionnant la racine.

Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région et en indiquant si l'état actuel d'un attribut est uniforme sur tous les comptes (par le biais dunumberOfMatchedAccounts) ou incohérent (par lenumberOfUnmatchedAccounts). Vous pouvez également voir la valeur la plus fréquente, qui est la valeur de configuration la plus fréquemment observée pour l'attribut.

La nécessité d'associer une politique EC2 pour appliquer une configuration de base dépend de votre cas d'utilisation spécifique.

Pour plus d'informations et un exemple illustratif, voirRapport sur l'état du compte pour les politiques EC2.

Conditions préalables

Avant de générer un rapport sur l'état du compte, effectuez les étapes suivantes :

  1. L'StartDeclarativePoliciesReportopération ne peut être appelée que par le compte de gestion ou par les administrateurs délégués d'une organisation.

  2. Pour exécuter des rapports à partir d'un compte d'administrateur délégué, le compte doit être enregistré en tant qu'administrateur délégué pour le service EC2.

  3. Vous devez disposer d'un compartiment S3 avant de générer le rapport. Créez un nouveau bucket ou utilisez-en un existant. Le compartiment doit se trouver dans la même région que celle dans laquelle vous faites la demande. Le compartiment doit disposer d'une politique de compartiment appropriée. Pour un exemple de politique S3, consultez Exemple de politique Amazon S3 sous Exemples dans le manuel Amazon EC2 API Reference

  4. Vous devez activer l'accès sécurisé pour Amazon EC2. Cela crée un rôle lié à un service en lecture seule qui génère le rapport d'état des comptes de la configuration existante pour les comptes de votre organisation.

    Utilisation de la console

    Pour la console Organizations, cette étape fait partie du processus d'activation des politiques EC2.

    À l'aide du AWS CLI

    Pour le AWS CLI, utilisez l'EnableAWSServiceAccessopération.

    Pour plus d'informations sur la manière d'activer l'accès sécurisé pour un service spécifique avec le AWS CLI, consultez Services AWS ce que vous pouvez utiliser avec AWS Organizations.

  5. Un seul rapport par organisation peut être généré à la fois. Si vous générez un rapport alors qu'un autre est en cours, l'opération renvoie une erreur.

Génération du rapport sur l'état de conformité

Autorisations minimales

Pour générer un rapport sur l'état de conformité, vous devez être autorisé à exécuter les opérations suivantes :

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

Note

Si votre compartiment Amazon S3 utilise SSE-KMS le chiffrement, vous devez également inclure l'kms:GenerateDataKeyautorisation dans la politique.

AWS Management Console

Utilisez la procédure suivante pour générer un rapport sur l'état du compte.

Pour générer un rapport sur l'état du compte
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Sur la page Politiques, choisissez les politiques EC2.

  3. Sur la page des politiques EC2, choisissez Afficher le rapport d'état du compte dans le menu déroulant Actions.

  4. Sur la page Afficher le rapport d'état du compte, choisissez Générer un rapport d'état.

  5. Dans le widget Structure organisationnelle, spécifiez les unités organisationnelles (UO) que vous souhaitez inclure dans le rapport.

  6. Sélectionnez Soumettre.

AWS CLI & AWS SDKs

Pour générer un rapport sur l'état du compte

Utilisez les opérations suivantes pour générer un rapport sur l'état de conformité, vérifier son état et consulter le rapport :

  • ec2:start-declarative-policies-report: Génère un rapport sur l'état du compte. Le rapport est généré de manière asynchrone et son élaboration peut prendre plusieurs heures. Pour plus d'informations, consultez StartDeclarativePoliciesReportle manuel Amazon EC2 API Reference.

  • ec2:describe-declarative-policies-report: décrit les métadonnées d'un rapport sur l'état d'un compte, y compris l'état du rapport. Pour plus d'informations, consultez DescribeDeclarativePoliciesReportsle manuel Amazon EC2 API Reference.

  • ec2:get-declarative-policies-report-summary: Récupère un résumé du rapport sur l'état du compte. Pour plus d'informations, consultez GetDeclarativePoliciesReportSummaryle manuel Amazon EC2 API Reference.

  • ec2:cancel-declarative-policies-report: annule la génération d'un rapport sur l'état du compte. Pour plus d'informations, consultez CancelDeclarativePoliciesReportle manuel Amazon EC2 API Reference.

Avant de générer un rapport, accordez aux politiques EC2 un accès principal au compartiment Amazon S3 dans lequel le rapport sera stocké. Pour ce faire, associez la politique suivante au bucket. amzn-s3-demo-bucketRemplacez-le par le nom réel de votre compartiment Amazon S3 et identity_ARN par l'identité IAM utilisée pour appeler l'StartDeclarativePoliciesReportopération.

La politique JSON suivante autorise l'accès pour envoyer le rapport à votre compartiment :

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }