翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のマルチアカウントマルチリージョンデータ集約 AWS Config
アグリゲータは、以下から AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。
+ 複数のアカウントと複数の AWS リージョン。
+ 1 つのアカウントと複数の AWS リージョン。
+ の組織 AWS Organizations と、その組織で AWS Config が有効になっているすべてのアカウント。
リソース設定と、 AWS Configに記録されたコンプライアンスデータを表示するには、アグリゲータを使用します。次の図は、アグリゲータが複数のアカウントとリージョンから AWS Config データを収集する方法を示しています。
![\[この画像は、 AWS Config データ集約の手順を示しています。複数のソースアカウントと AWS リージョンからデータを収集し、リソース設定情報とコンプライアンスデータを集約し、管理に役立つ集約ビューを提示します。\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/images/Aggregate_Data_Landing_Page_Diagram.png)
## ユースケース
+ **コンプライアンスモニタリング**: コンプライアンスデータを集約して、組織の全体的なコンプライアンス体制、またはアカウントとリージョン全体で評価できます。
+ **変更追跡**: 組織全体、またはアカウントとリージョン間で、リソースへの変更を経時的に追跡できます。
+ **リソース関係 **: 組織全体、またはアカウントとリージョン間でリソースの依存関係と関係を分析できます。
**注記**
アグリゲータでは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることにより、アグリゲータが閲覧を許可されているソースアカウントとリージョンに対して、*読み取り専用ビュー*を提供します。アグリゲータでは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを使用してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりできないということを意味します。
アグリゲータを使用しても、追加コストは発生しません。
## 用語
*ソースアカウント*は、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizationsの組織を指定できます。ソースアカウントは個別に提供することも、取得することもできます AWS Organizations。
*ソースリージョン*は、 AWS Config 設定データとコンプライアンスデータを集約する AWS リージョンです。
*アグリゲータアカウント*は、アグリゲータを作成するアカウントです。
*認可*とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。
*サービスにリンクされたアグリゲータ*は、特定の にリンクされます AWS のサービス。スコープ内の設定データとコンプライアンスデータは、リンクされたサービスによって設定されます。
## リージョンのサポート
現在、マルチアカウントマルチリージョンのデータ集約は次のリージョンでサポートされています。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/aggregate-data.html)
# のアグリゲータダッシュボードでのコンプライアンスデータとインベントリデータの表示 AWS Config
**アグリゲータ**ページのダッシュボードには、集約された AWS リソースの設定データが表示されます。ルール、適合パック、およびコンプライアンスの状態の概要が示されます。
ダッシュボードには、リソースの合計 AWS リソース数が表示されます。リソースタイプとソースアカウントは、リソースの最大数によってランク付けされます。準拠ルール、非準拠ルール、および適合パックの数も表示されます。非準拠ルールは、非準拠リソースの最大数によってランク付けされます。非準拠適合パックとソースアカウントは、非準拠ルールの最大数によってランク付けされます。
設定後 AWS Config、指定されたソースアカウントからアグリゲータへのデータの集約が開始されます。ルールのコンプライアンス状態を表示するまでに、数分かかる場合があります。
## アグリゲータダッシュボードの使用
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. **[アグリゲータ]** ページに移動します。 次を表示できます。
+ ルールとそのコンプライアンス状態。
+ 適合パックとそのコンプライアンス状態。
+ AWS リソースとその設定データ。
1.
ダッシュボードで [アグリゲータ] を選択します。アグリゲータ名でアグリゲータをフィルタリングします。次のウィジェットを表示できます。
+ **リソースインベントリ**
選択したアグリゲータから上位 10 のリソースタイプを、リソース数の降順で表示します。 **[リソースのインベントリ]** の後の括弧内に表示される、選択したアグリゲータのリソースの総数を選択すると、集約された **[リソース]** ページに移動します。このページでは、アグリゲータのすべてのリソースを表示できます。または、ウィジェットでリソースタイプを選択すると、集約された **[リソース]** ページに移動します。このページは、指定したリソースタイプを使用してフィルタリングされています。
+ **リソース数別アカウント**
選択したアグリゲータから上位 5 つのアカウントを、リソース数の降順で表示します。ウィジェットでアカウントを選択すると、指定したアカウントを使用してフィルタリングされた **[リソース]** ページに移動します。
+ **非準拠ルール**
選択したアグリゲータから上位 5 つの非準拠ルールを、非準拠リソース数の降順で表示します。ウィジェットのルールを選択すると、指定したルールの [詳細] ページに移動します。**[すべての非準拠ルールを表示]** を選択すると、集約された **[ルール]** ページに移動し、アグリゲータのすべてのルールを表示できます。
+ **非準拠ルール別アカウント**
選択したアグリゲータから上位 5 つのアカウントを、非準拠ルール数の降順で表示します。ウィジェットでアカウントを選択すると、集約された **[ルール]** ページに移動し、指定したアカウントを使用してフィルタリングされたアグリゲータのすべてのルールを表示できます。
+ **準拠していない準拠パック別アカウント**
選択したアグリゲータから上位 5 つのアカウントを、非準拠パック数の降順で表示します。ウィジェットでアカウントを選択すると、集約された **[適合パック]** ページに移動し、指定したアカウントを使用してフィルタリングされたアグリゲータのすべての適合パックを表示できます。
1. 左側のナビゲーションペインで、ドロップダウンメニューから次のオプションの 1 つを選択します。
+ **コンプライアンスダッシュボード**
アグリゲータ内のリソースコンプライアンスに関するインサイトを要約するウィジェットを使用して、自動コンプライアンスダッシュボードを表示できます。非準拠リソース別の上位 10 のリソースタイプや、非準拠ルール別のアカウントレベルの上位 10 の適合パックなどのデータを表示できます。これらのグラフやチャートについては、「[コンプライアンスダッシュボード](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-compliance-dashboard)」を参照してください。
+ **適合パック**
アグリゲータ AWS アカウント 内で作成され、異なる にリンクされているすべてのコンフォーマンスパックを表示します。**[適合パック]** ページには、各適合パックの名前、リージョン、アカウント ID、およびコンプライアンスステータスを一覧表示するテーブルが表示されます。このページから、適合パックと **[詳細を表示]** をクリックすると、ルールとリソース、およびコンプライアンスステータスの詳細を確認できます。
+ **ルール**
アグリゲータ内で作成され、異なる AWS アカウントにリンクされているルールをすべて表示します。**[ルール]** ページには、各ルールの名前、コンプライアンスステータス、リージョン、アカウントの一覧表が表示されます。このページから、ルールと **[詳細を表示]** をクリックすると、アグリゲータ、リージョン、アカウント ID、スコープ内のリソースなどの情報を確認できます。
+ **インベントリダッシュボード**
アグリゲータ内のリソース設定データに関するインサイトを要約するウィジェットを使用して、自動インベントリダッシュボードを表示できます。リソース数別の上位 10 のリソースタイプや、リソース数別の上位 10 のアカウントなどのデータを表示できます。これらのグラフやチャートについては、「[インベントリダッシュボード](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html#aggregate-resource-dashboard)」を参照してください。
+ **リソース**
アグリゲータ内で記録され、異なる AWS アカウントにリンクされているリソースをすべて表示します。**[リソース]** ページで、リソースと **[詳細を表示]** を選択して、詳細とそれに関連付けられたルール、および現在のリソース設定を表示します。また、アグリゲータ、リージョン、アカウント ID、リソース名、リソースタイプ、リソース ID など、リソースに関する情報を表示することもできます。
+ **認証**
現在承認されている、または承認が保留中のアカウントをすべて表示し、管理します。**[認証]** ページから、**[承認の追加] **を選択して、別のアカウントへのアクセスを許可します。アカウント ID からアクセスを取り消すには **[認証の削除]** を選択します。
**注記**
**トラブルシューティング**
次の理由で、「**Data collection from all source accounts and regions is incomplete**」というメッセージが、集約ビューに表示されることがあります。
AWS リソースの非準拠 AWS Config ルールと設定データの転送が進行中です。
AWS Config は、適用したフィルターに一致するルールを見つけることができません。適切なアカウントまたはリージョンを選択して、もう一度試してください。
集約ビューに、「**Data collection from your organization is incomplete」というメッセージが表示されることがあります。以下のデータは 24 時間だけ表示できます。**これは、次のような理由で表示されます。
AWS Config 有効でない IAM ロールのため、 は組織の詳細にアクセスできません。IAM ロールが 24 時間以上は無効である場合、 AWS Config は組織全体のデータを削除します。
AWS Config サービスアクセスは組織内で無効になっています。
## コンプライアンスダッシュボード
アグリゲータ内のリソースコンプライアンスに関するインサイトを要約するウィジェットを使用して、自動コンプライアンスダッシュボードを表示できます。このダッシュボードはコンプライアンス結果のあるルールだけを表示します。
**注記**
**制限事項**
コンプライアンスダッシュボードのインサイトは、 のアドバンストクエリ機能によって提供され AWS Config、この機能はネストされた構造やネストされた配列の解凍をサポートしていません。つまり、コンプライアンスダッシュボードには、リソースの全体的なコンプライアンスが表示され、リソースについてレポートする特定のルールごとのコンプライアンスステータスは表示されません。
例えば、リソースタイプ `AWS::Config::ResourceCompliance` の設定項目 (CI) をチェックすると、ダッシュボードには、そのリソースについてレポートするすべてのルールのコンプライアンス結果が表示されます。リソースについてレポートするルールが 10 個あり、そのうち 9 個が COMPLIANT、1 個のみが NON\$1COMPLIANT の場合、そのリソースの全体的なコンプライアンスは NON\$1COMPLIANT になります。
**コンプライアンスの概要 (リソース別)**
選択したアグリゲータから準拠リソースと非準拠リソースの数を比較した円グラフを表示します。グラフの上にカーソルを移動すると、準拠リソースと非準拠リソースの正確な数と割合が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**非準拠リソース別の上位 10 のリソースタイプ**
選択したアグリゲータから最大 10 のリソースタイプを、水平方向の棒グラフで、非準拠リソース数の降順で表示します。グラフの上にカーソルを移動すると、各リソースタイプの非準拠リソースの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**非準拠リソース別の上位 10 のアカウント**
*非準拠リソース別の上位 10 のアカウント*には、選択したアグリゲータから最大 10 のアカウントが、水平方向の棒グラフで、非準拠リソース数の降順で表示します。グラフの上にカーソルを移動すると、各アカウントの非準拠リソースの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**非準拠リソース別の上位 10 のリージョン**
選択したアグリゲータがデータを収集するリージョンを最大 10 比較する水平方向の棒グラフを、非準拠リソース数の降順で表示します。グラフの上にカーソルを移動すると、各リージョンの非準拠リソースの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定よって異なります。
**非準拠ルール別の上位 10 のアカウントレベルの適合パック**
選択したアグリゲータから最大 10 のアカウントレベルの適合パックを、水平方向の棒グラフで、非準拠ルール数の降順で表示します。グラフの上にカーソルを移動すると、各アカウントレベルの適合パックの準拠ルールと非準拠ルールの割合が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**非準拠ルール別の上位 10 の組織レベルの適合パック**
選択したアグリゲータから最大 10 の組織レベルの適合パックを、水平方向の棒グラフで、非準拠ルール数の降順で表示します。グラフの上にカーソルを移動すると、各組織レベルの適合パックの準拠ルールと非準拠ルールの割合が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**適合パック間の非準拠ルール別の上位 10 のアカウント**
*適合パック間の非準拠ルール別の上位 10 のアカウント*には、選択したアグリゲータから最大 10 のアカウントが、水平方向の棒グラフで、適合パック間の非準拠リソース数の降順で表示されます。グラフの上にカーソルを移動すると、各アカウントの非準拠ルールの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
## インベントリダッシュボード
アグリゲータ内のリソース設定データに関するインサイトを要約するウィジェットを使用して、自動インベントリダッシュボードを表示できます。
**リソース数別の上位 10 のリソースタイプ**
選択したアグリゲータから最大 10 のリソースタイプを、水平方向の棒グラフで、リソース数の降順で表示します。グラフの上にカーソルを移動すると、各リソースタイプのリソースの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**リソース数 (リージョン別)**
選択したアグリゲータがデータを収集するリージョンを最大 10 比較する水平方向の棒グラフを、リソース数の降順で表示します。グラフの上にカーソルを移動すると、各リージョンのリソースの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定よって異なります。
**リソース数別の上位 10 のアカウント**
選択したアグリゲータから最大 10 のアカウントを、水平方向の棒グラフで、リソース数の降順で表示します。グラフの上にカーソルを移動すると、各リソースタイプの正確なリソースの数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。
**Amazon EC2 サービスのリソースタイプ別のリソース数**
選択したアグリゲータから Amazon EC2 のリソースタイプを比較する水平方向の棒グラフが、リソース数の降順で表示されます。グラフの上にカーソルを移動すると、各 Amazon EC2 リソースタイプの正確なリソース数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。このグラフを使用するには、Amazon EC2 リソースタイプを記録するようにレコーダーを設定する必要があります。詳細については、[AWS Config 「記録するリソースの選択](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
**使用されている上位 10 の EC2 インスタンスタイプ**
選択したアグリゲータから最大 10 の Amazon EC2 インスタンスタイプを比較する水平方向の棒グラフが、使用状況の降順で表示されます。グラフの上にカーソルを移動すると、各 EC2 インスタンスタイプの使用状況が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。このグラフを使用するには、EC2 インスタンスのリソースタイプを記録するようにレコーダーを設定する必要があります。詳細については、[AWS 「リソースのコーディング](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
**ボリュームタイプとサイズ別の EBS ボリューム数**
選択したアグリゲータから EBS ボリュームをリソース数別に比較した垂直方向の棒グラフを表示します。グラフの上にカーソルを移動すると、各 EBS ボリュームのタイプの数とサイズの内訳が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。このグラフを使用するには、EC2 ボリュームのリソースタイプを記録するようにレコーダーを設定する必要があります。詳細については、[AWS Config 「記録するリソースの選択](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
**実行中および停止中の EC2 インスタンスの数 (タイプ別)**
選択したアグリゲータから実行中の EC2 インスタンスタイプと停止している EC2 インスタンスをインスタンスタイプ別に比較した水平方向の棒グラフを表示します。グラフの上にカーソルを移動すると、各タイプの停止中および実行中の EC2 インスタンスの正確な数が表示されます。
表示されるデータは、選択したアグリゲータの各アカウントの設定レコーダーの設定と、選択したアグリゲータがデータを収集するように設定されているリージョンによって異なります。このグラフを使用するには、EC2 インスタンスのリソースタイプを記録するようにレコーダーを設定する必要があります。詳細については、[AWS 「リソースのコーディング](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
# AWS Config のアグリゲータの作成
AWS Config コンソールまたは AWS CLI を使用して、アグリゲータを作成できます。AWS Config から、**[個々のアカウント ID を追加する]** か、データを集約する元の **[組織を追加する]** を選択できます。AWS CLI には 2 つの異なる手順があります。
------
#### [ Creating Aggregators (Console) ]
**[アグリゲータ]** ページで、データを集約するソースアカウント ID または組織とリージョンを指定して、アグリゲータを作成することができます。
1. AWS マネジメントコンソール にサインインして、AWS Config コンソール ([https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)) を開きます。
1. **[アグリゲータ]** ページに移動し、**[アグリゲータの作成]** をクリックします。
1. **[データのレプリケーションを許可]** では、ソースアカウントからアグリゲータアカウントにデータをレプリケートするアクセス許可を AWS Config に付与します。
**[AWS Config にソースアカウントからアグリゲータアカウントへのデータのレプリケートを許可する] を選択します。続行してアグリゲータを追加するには、このチェックボックスをオンにする必要があります**。
1. **[アグリゲータ名]** に、アグリゲータの名前を入力します。
このアグリゲータ名は、最大 64 文字の英数字を含む一意の名前である必要があります。この名前には、ハイフンとアンダースコアを使用できます。
1. **[ソースアカウントの選択]** で、データの集約元となる **[個々のアカウント ID を追加する]** または **[組織の追加]** を選択します。
**注記**
**[個々のアカウント ID を追加する]** を使用してソースアカウントを選択する場合は、認可が必要です。
+ **[個々のアカウント ID を追加する]** を選択した場合は、アグリゲータアカウントの個別のアカウント ID を追加できます。
1. アカウント ID を追加するには、**[ソースアカウントの追加]** を選択します。
1. **[AWS アカウント アカウント ID の追加]** をクリックして、カンマで区切られた AWS アカウント ID を手動で追加します。現在のアカウントからデータを集約する場合は、アカウントのアカウント ID を入力します。
または
**[ファイルのアップロード]** をクリックして、カンマで区切られた AWS アカウント ID のファイル (.txt または .csv) をアップロードします。
1. **[ソースアカウントの追加]** を選択して、選択を確定します。
+ **[組織の追加]** を選択した場合、組織のすべてのアカウントをアグリゲータアカウントに追加することができます。
**注記**
管理アカウントまたは登録済みの委任された管理者にサインインしていて、組織のすべての機能が有効になっている必要があります。発信者が管理アカウントの場合、AWS Config が `EnableAwsServiceAccess` API を呼び出して、AWS Config および AWS Organizations 間の[統合を有効](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)にします。発信者が登録済みの委任された管理者の場合、AWS Config が `ListDelegatedAdministrators` API を呼び出して、発信者が有効な委任された管理者であるかどうかを確認します。
委任された管理者がアグリゲータを作成する前に、管理アカウントに AWS Config サービスプリンシパル名 (config.amazonaws.com) の委任された管理者が登録されていることを確認します。委任された管理者を登録するには、「[の委任管理者の登録 AWS Config](aggregated-register-delegated-administrator.md)」を参照してください。
組織の読み取り専用 API のコールを AWS Config に許可するには、IAM ロールを割り当てる必要があります。
1. **[アカウントからロールを選択]** をクリックして、既存の IAM ロールを選択します。
**注記**
IAM コンソールで、`AWSConfigRoleForOrganizations` 管理ポリシーを IAM ロールにアタッチします。このポリシーをアタッチすると、AWS Config AWS Organizations、`DescribeOrganization`、`ListAWSServiceAccessForOrganization` API の呼び出しを `ListAccounts` に許可します。デフォルトでは、`config.amazonaws.com` が信頼されたエンティティとして自動的に指定されます。
1. または、**[ロールを作成する]** を選択して、IAM ロール名の名前を入力し、IAM ロールを作成します。
1. **[リージョン]** で、データを集約するリージョンを選択します。
+ 1 つのリージョン、複数のリージョン、またはすべての AWS リージョン リージョンを選択します。
+ **[将来の AWS リージョン を含める]** をクリックすると、複数アカウントのマルチリージョンのデータ集約が有効になっている将来のすべての AWS リージョン リージョンからデータが集約されます。
1. **[保存]** を選択すると、AWS Config にアグリゲータが表示されます。
------
#### [ Creating Aggregators using Individual Accounts (AWS CLI) ]
1. コマンドプロンプトまたはターミナルウィンドウを開きます。
1. 次のコマンドを入力して、**MyAggregator** という名前のアグリゲータを作成します。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
`account-aggregation-sources` については、次のいずれかを入力します。
+ データを集約する AWS アカウント ID のカンマ区切りリスト。アカウント ID を角括弧で囲み、必ず疑問符をエスケープします (例: `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`)。
+ カンマ区切りの AWS アカウント ID の JSON ファイルをアップロードすることもできます。次の構文を使用して、ファイルをアップロードします。`--account-aggregation-sources MyFilePath/MyFile.json`
JSON ファイルの形式は、次のようになります。
```
[
{
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
],
"AllAwsRegions": true
}
]
```
1. Enter キーを選択して、コマンドを実行します。
次のような出力が表示されます:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.442
}
}
```
------
#### [ Creating Aggregators using AWS Organizations (AWS CLI) ]
この手順を開始する前に、管理アカウントまたは登録済みの委任された管理者にサインインしていて、すべての機能が組織で有効になっている必要があります。
**注記**
委任された管理者がアグリゲータを作成する前に、管理アカウントで AWS Config サービスプリンシパル名 (`config.amazonaws.com` および `config-multiaccountsetup.amazonaws.com` の両方) に、委任された管理者が登録されていることを確認します。委任された管理者を登録するには、[の委任管理者の登録 AWS Config](aggregated-register-delegated-administrator.md) を参照してください。
1. コマンドプロンプトまたはターミナルウィンドウを開きます。
1. AWS Config アグリゲータ用の IAM ロールを作成していない場合は、次のコマンドを入力します。
```
aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
```
**注記**
AWS Config アグリゲータを作成するときに使用する Amazon リソースネーム (ARN) を、この IAM ロールからコピーします。ARN はレスポンスオブジェクト内にあります。
1. IAM ロールにポリシーをアタッチしていない場合は、[AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) マネージドポリシーをアタッチするか、次のコマンドを入力します。
```
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
```
1. 次のコマンドを入力して、**MyAggregator** という名前のアグリゲータを作成します。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
```
1. Enter キーを選択して、コマンドを実行します。
次のような出力が表示されます:
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# の委任管理者の登録 AWS Config
委任管理者は、指定された AWS 組織内のアカウントで、指定された AWS サービスに対する追加の管理者権限が付与されます。詳細については、「*AWS Organizations ユーザーガイド*」の「[委任された管理者](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。 AWS CLI を使用して委任管理者を登録できます。
**委任管理者の登録**
1. 管理アカウントの認証情報を使用してログインします。
1. コマンドプロンプトまたはターミナルウィンドウを開きます。
1. 次のコマンドを入力して、組織の委任管理者としてサービスアクセスを有効にし、組織全体で AWS Config ルールとコンフォーマンスパックをデプロイおよび管理します。
```
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
```
1. 次のコマンドを入力して、組織の委任管理者としてサービスアクセスを有効にし、組織全体の AWS Config データを集約します。
```
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com
```
1. サービスアクセスの有効化が完了したかどうかを確認するには、次のコマンドを入力し、Enter キーを押してコマンドを実行します。
```
aws organizations list-aws-service-access-for-organization
```
次のような出力が表示されます:
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": [
"config.amazonaws.com",
"config-multiaccountsetup.amazonaws.com"
],
"DateEnabled": 1607020860.881
}
]
}
```
1. 次に、次のコマンドを入力して、メンバーアカウントを AWS Configの委任された管理者として登録します。
```
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-id MemberAccountID
```
と
```
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-id MemberAccountID
```
1. 委任された管理者の登録が完了したかどうかを確認するには、管理アカウントから次のコマンドを入力し、Enter キーを押してコマンドを実行します。
```
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
```
と
```
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com
```
次のような出力が表示されます:
```
{
"DelegatedAdministrators": [
{
"Id": "MemberAccountID",
"Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID",
"Email": "name@amazon.com",
"Name": "name",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": 1604867734.48,
"DelegationEnabledDate": 1607020986.801
}
]
}
```
# AWS Config のアグリゲータの編集
AWS Config コンソールまたは AWS CLI を使用して、アグリゲータを編集できます。
------
#### [ Editing Aggregators (Console) ]
1. AWS マネジメントコンソール にサインインして、AWS Config コンソール ([https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)) を開きます。
1. **[アグリゲータ]** ページに移動し、アグリゲータ名を選択します。
1. **[アクション]** を選択して、**[編集]** を選択します。
1. **[アグリゲータの編集]** ページのセクションを使用して、アグリゲータのソースアカウント、IAM ロール、またはリージョンを変更します。
**注記**
個別のアカウントから組織に、またはその逆にソースタイプを変更することはできません。
1. **[保存]** を選択します。
------
#### [ Editing Aggregators (AWS CLI) ]
1. 設定アグリゲータを更新または編集するには、`put-configuration-aggregator` コマンドを使用できます。
次のコマンドを入力して、新しいアカウント ID を **MyAggregator** に追加します。
```
aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
```
1. ソースアカウントに応じて、次のような出力が表示されます。
**個別のアカウントの場合**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6",
"CreationTime": 1517952090.769,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3",
"AccountID4"
]
}
],
"LastUpdatedTime": 1517952566.445
}
}
```
または
**組織の場合**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# AWS Config のアグリゲータの削除
AWS Config コンソールまたは AWS CLI を使用して、アグリゲータを削除できます。
------
#### [ Deleting Aggregators (Console) ]
1. AWS マネジメントコンソール にサインインして、AWS Config コンソール ([https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)) を開きます。
1. **[アグリゲータ]** ページに移動し、アグリゲータ名を選択します。
1. **[アクション]** を選択してから、**[削除]** を選択します。
警告メッセージが表示されます。アグリゲータを削除すると、すべての集約されたデータが失われます。このデータは復元できませんが、ソースアカウントのデータへの影響はありません。
1. **[削除]** を選択して、選択を確定します。
------
#### [ Deleting Aggregators (AWS CLI) ]
次のコマンドを入力します。
```
aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator
```
成功すると、コマンドは追加の出力なしで実行されます。
------
# アグリゲータアカウントが AWS Config 設定およびコンプライアンスデータを収集することを許可する
*認可*とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。 AWS Config コンソールまたは を使用して、アグリゲータアカウント AWS CLI を承認できます。
**Topics**
+ [
## 考慮事項
](#aggregated-add-authorization-considerations)
+ [
## 認証の追加
](#aggregated-add-authorization-procedure)
## 考慮事項
**アグリゲータには、個別アカウントアグリゲータと組織アグリゲータの 2 種類があります**
個人アカウントアグリゲータの場合、外部アカウントとリージョン、組織のメンバーアカウントとリージョンの両方を含め、希望するすべてのソースアカウントとリージョンの承認が必要です。
組織アグリゲータの場合、認可は AWS Organizations サービスと統合されているため、組織メンバーアカウントリージョンに認可は必要ありません。
**アグリゲータは AWS Config ユーザーに代わって を自動的に有効にしません**
AWS Config ソースアカウントとリージョンで AWS Config データを生成するには、いずれかのタイプのアグリゲータでソースアカウントとリージョンで を有効にする必要があります。
## 認証の追加
------
#### [ Adding Authorization (Console) ]
アグリゲータアカウントとリージョンに、 AWS Config 設定とコンプライアンスデータを収集するアクセス許可を付与する認可を追加できます。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. **[認証]** ページに移動し、**[承認の追加]** を選択します。
1. **[アグリゲータアカウント]** に、アグリゲータアカウントの 12 桁のアカウント ID を入力します。
1. **[アグリゲータのリージョン]** で、アグリゲータアカウントが AWS Config 設定とコンプライアンスデータの収集を許可される AWS リージョン を選択します。
1. **[承認の追加]** を選択して、選択を確定します。
AWS Config は、アグリゲータアカウント、リージョン、認可ステータスを表示します。
**注記**
CloudFormation サンプルテンプレートを使用して、プログラムでアグリゲータアカウントとリージョンに認可を追加することもできます。詳細については、「*CloudFormation ユーザーガイド*」の「[AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html)」を参照してください。
------
#### [ Authorizing a Pending Request (Console) ]
既存のアグリゲータアカウントからの保留中の承認リクエストがある場合、**[認証]** ページにリクエストのステータスが表示されます。このページから、保留中のリクエストを承認することができます。
1. 承認するアグリゲータアカウントを選択し、**[承認]** を選択します。
このアカウントから AWS Config データを収集するアクセス許可をアグリゲータアカウントに付与することを確認する確認メッセージが表示されます。
1. 再度 **[承認]** を選択し、アグリゲータアカウントへのアクセス権限の付与を確認します。
認証のステータスが、**[認証のリクエスト] ** から **[承認済]** に変わります。
**アクセス権限の承認期間**
ソースアカウントを個人アカウントアグリゲータに追加するには、アクセス権限の承認が必要です。承認待ちのリクエストは、個人アカウントアグリゲータによるソースアカウントの追加後 7 日間有効です。
------
#### [ Adding Authorization (AWS CLI) ]
1. コマンドプロンプトまたはターミナルウィンドウを開きます。
1. 次のコマンドを入力します。
```
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
1. 次のような出力が表示されます:
```
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
```
------
# 設定 AWS Config およびコンプライアンスデータを収集するためのアグリゲータアカウントの承認の削除
*認可*とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。 AWS Config コンソールまたは を使用して AWS CLI 、認可を削除できます。
**Topics**
+ [
## 考慮事項
](#aggregated-delete-authorization-considerations)
+ [
## 認証の削除
](#aaggregated-delete-authorization-procedure)
## 考慮事項
**アグリゲータには、個別アカウントアグリゲータと組織アグリゲータの 2 種類があります**
個人アカウントアグリゲータの場合、外部アカウントとリージョン、組織のメンバーアカウントとリージョンの両方を含め、希望するすべてのソースアカウントとリージョンの承認が必要です。
組織アグリゲータの場合、認可は AWS Organizations サービスと統合されているため、組織メンバーアカウントリージョンに認可は必要ありません。
**アグリゲータ AWS Config はユーザーに代わって を自動的に有効にしません**
AWS Config ソースアカウントとリージョンで AWS Config データを生成するには、いずれかのタイプのアグリゲータでソースアカウントとリージョンで を有効にする必要があります。
## 認証の削除
------
#### [ Deleting Authorization (Console) ]
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. 認証を削除するアグリゲータアカウントを選択し、**[削除]** を選択します。
警告メッセージが表示されます。この認可を削除すると、 AWS Config データはアグリゲータアカウントと共有されなくなります。
1. 再度 **[削除]** を選択して、選択を確定します。
これで、アグリゲータのアカウントが削除されました。
------
#### [ Deleting Authorization (AWS CLI) ]
次のコマンドを入力します。
```
aws configservice delete-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
```
成功すると、コマンドは追加の出力なしで実行されます。
------
# AWS Config のアグリゲータの表示
AWS Config コンソールまたは AWS CLI を使用して、アグリゲータを表示できます。
------
#### [ Viewing Aggregators (Console) ]
AWS マネジメントコンソール で適合パックを表示するには、[アグリゲータダッシュボード](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aggregate-dashboard.html)を参照してください。
------
#### [ Viewing Aggregators (AWS CLI) ]
1. 次のコマンドを入力します。
```
aws configservice describe-configuration-aggregators
```
1. ソースアカウントに応じて、次のような出力が表示されます。
**個別のアカウントの場合**
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
または
**組織の場合**
```
{
"ConfigurationAggregator": {
"ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "MyAggregator",
"OrganizationAggregationSource": {
"AllAwsRegions": true,
"RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
},
"LastUpdatedTime": 1517942461.442
}
}
```
------
# のマルチアカウントマルチリージョンデータ集約のトラブルシューティング AWS Config
AWS Config は、次のいずれかの理由でソースアカウントからデータを集約しない場合があります。
****
| 発生した問題 | この操作を行います |
| --- | --- |
| AWS Config は、組織内のアカウントのソースアカウントで有効になっていません。 | ソースアカウント AWS Config で を有効にし、アグリゲータアカウントがデータを収集することを許可します。 |
| アグリゲータアカウントに承認が与えられていない。 | ソースアカウントにサインインし、データを収集する権限をアグリゲータアカウントに付与します AWS Config 。 |
| 一時的な問題により、データの集約ができない可能性があります。 | データの集約には遅延が発生する可能性があります。数分待ちます。 |
AWS Config は、次のいずれかの理由で組織からデータを集約しない場合があります。
****
| 発生した問題 | この操作を行います |
| --- | --- |
| AWS Config IAM ロールが無効であるため、 は組織の詳細にアクセスできません。 | IAM ロールを作成するか、IAM ロールのリストから有効な IAM ロールを選択します。 IAM ロールが 7 日以上無効である場合、 は組織全体のデータ AWS Config を削除します。 |
| AWS Config サービスアクセスは組織内で無効になっています。 | EnableAWSServiceAccess API AWS Organizations を使用して AWS Config と の統合を有効にできます。コンソールで組織の追加を選択すると、 は AWS Config と の統合 AWS Config を自動的に有効にします AWS Organizations。 |
| AWS Config すべての機能が組織で有効になっていないため、 は組織の詳細にアクセスできません。 | AWS Organizations コンソールで[すべての機能を有効にします](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。 |
| アカウントの追加、アカウントの削除、サービスアクセスの有効化、サービスアクセスの無効化などの組織変更は、中東 (バーレーン) とアジアパシフィック (香港) のリージョンではすぐに更新されません。 | 組織変更には 2 時間の遅延が発生する可能性があります。2 時間待ってから、組織変更をすべて確認してください。 |