Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Génération du rapport sur l'état du compte pour les politiques EC2
Le rapport d'état du compte vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques EC2 pour les comptes concernés. Vous pouvez choisir les comptes et les unités organisationnelles (UO) à inclure dans le champ d'application du rapport, ou choisir une organisation entière en sélectionnant la racine.
Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région et en indiquant si l'état actuel d'un attribut est uniforme sur tous les comptes (par le biais dunumberOfMatchedAccounts) ou incohérent (par lenumberOfUnmatchedAccounts). Vous pouvez également voir la valeur la plus fréquente, qui est la valeur de configuration la plus fréquemment observée pour l'attribut.
La nécessité d'associer une politique EC2 pour appliquer une configuration de base dépend de votre cas d'utilisation spécifique.
Pour plus d'informations et un exemple illustratif, voirRapport sur l'état du compte pour les politiques EC2.
Conditions préalables
Avant de générer un rapport sur l'état du compte, effectuez les étapes suivantes :
-
L'
StartDeclarativePoliciesReportopération ne peut être appelée que par le compte de gestion ou par les administrateurs délégués d'une organisation. -
Pour exécuter des rapports à partir d'un compte d'administrateur délégué, le compte doit être enregistré en tant qu'administrateur délégué pour le service EC2.
-
Vous devez disposer d'un compartiment S3 avant de générer le rapport. Créez un nouveau bucket ou utilisez-en un existant. Le compartiment doit se trouver dans la même région que celle dans laquelle vous faites la demande. Le compartiment doit disposer d'une politique de compartiment appropriée. Pour un exemple de politique S3, consultez Exemple de politique Amazon S3 sous Exemples dans le manuel Amazon EC2 API Reference
-
Vous devez activer l'accès sécurisé pour Amazon EC2. Cela crée un rôle lié à un service en lecture seule qui génère le rapport d'état des comptes de la configuration existante pour les comptes de votre organisation.
Utilisation de la console
Pour la console Organizations, cette étape fait partie du processus d'activation des politiques EC2.
À l'aide du AWS CLI
Pour le AWS CLI, utilisez l'EnableAWSServiceAccessopération.
Pour plus d'informations sur la manière d'activer l'accès sécurisé pour un service spécifique avec le AWS CLI, consultez Services AWS ce que vous pouvez utiliser avec AWS Organizations.
-
Un seul rapport par organisation peut être généré à la fois. Si vous générez un rapport alors qu'un autre est en cours, l'opération renvoie une erreur.
Génération du rapport sur l'état de conformité
Autorisations minimales
Pour générer un rapport sur l'état de conformité, vous devez être autorisé à exécuter les opérations suivantes :
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
Note
Si votre compartiment Amazon S3 utilise SSE-KMS le chiffrement, vous devez également inclure l'kms:GenerateDataKeyautorisation dans la politique.