翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アグリゲータの作成
AWS Config コンソールまたは を使用してアグリゲータ AWS CLI を作成できます。から AWS Config 、個々のアカウント IDsか、データを集約する組織を追加するを選択できます。には 2 つの異なる手順 AWS CLI があります。
- Creating Aggregators (Console)
-
アグリゲータページでは、データを集約するソースアカウント IDs または組織とリージョンを指定することで、アグリゲータを作成できます。
にサインイン AWS Management Console し、https://console.aws.amazon.com/config/
で AWS Config コンソールを開きます。 -
[Aggregators] (アグリゲータ) ページに移動し、[Create aggregator] (アグリゲータの作成) をクリックします。
-
データレプリケーションを許可 AWS Config し、ソースアカウントからアグリゲータアカウントにデータをレプリケートするアクセス許可を付与します。
ソースアカウントからアグリゲータアカウントにデータを AWS Config レプリケートするには、許可を選択します (複数可)。続行してアグリゲータを追加するには、このチェックボックスをオンにする必要があります。
-
[Aggregator name] (アグリゲータ名) に、アグリゲータの名前を入力します。
このアグリゲータ名は、最大 64 文字の英数字を含む一意の名前である必要があります。この名前には、ハイフンとアンダースコアを使用できます。
-
ソースアカウントの選択 で、個々のアカウント IDs を追加する またはデータを集約する組織を追加する を選択します。
注記
[Add individual account IDs] (個々のアカウント ID を追加する) を使用してソースアカウントを選択する場合は、認可が必要です。
-
[Add individual account IDs] (個別のアカウント ID の追加) を選択した場合は、アグリゲータアカウントの個別のアカウント ID を追加できます。
-
アカウント ID を追加するには、[Add source accounts] (ソースアカウントの追加) を選択します。
-
Add AWS アカウント IDs を選択して、カンマ区切りの AWS アカウント IDs。現在のアカウントからデータを集約する場合は、アカウントのアカウント ID を入力します。
または
ファイルをアップロードを選択して、カンマ区切り AWS アカウント IDs。
-
[Add source accounts] (ソースアカウントの追加) を選択して、選択を確定します。
-
-
[Add my organization] (組織の追加) を選択した場合、組織のすべてのアカウントをアグリゲータアカウントに追加することができます。
注記
管理アカウントまたは登録済みの委任された管理者にサインインしていて、組織のすべての機能が有効になっている必要があります。発信者が管理アカウントの場合、 は
EnableAwsServiceAccess
API を AWS Config 呼び出して AWS Config と の統合を有効にします AWS Organizations。発信者が登録済みの委任管理者である場合、 はListDelegatedAdministrators
API を AWS Config 呼び出して、発信者が有効な委任管理者かどうかを確認します。委任管理者がアグリゲータを作成する前に、管理アカウントが AWS Config サービスプリンシパル名 (config.amazonaws.com) の委任管理者を登録していることを確認します。委任された管理者を登録するには、委任された管理者の登録 を参照してください。
が組織の読み取り専用 APIs AWS Config を呼び出すには、IAM ロールを割り当てる必要があります。
-
[Choose a role from your account] (アカウントからロールを選択) をクリックして、既存の IAM ロールを選択します。
注記
IAM コンソールで、
AWSConfigRoleForOrganizations
管理ポリシーを IAM ロールにアタッチします。このポリシーをアタッチすると、 は AWS Config AWS OrganizationsDescribeOrganization
、ListAWSServiceAccessForOrganization
、およびListAccounts
APIs呼び出すことができます。デフォルトでは、config.amazonaws.com
が信頼されたエンティティとして自動的に指定されます。 -
または、[Create a role] (ロールを作成する) を選択して、IAM ロール名の名前を入力し、IAM ロールを作成します。
-
-
-
[Regions] (リージョン) で、データを集約するリージョンを選択します。
-
1 つのリージョン、複数のリージョン、またはすべての AWS リージョンリージョンを選択します。
-
「未来を含める AWS リージョン」を選択して、マルチアカウントマルチリージョンのデータ集約が有効になってい AWS リージョン るすべての未来のデータを集約します。
-
-
「保存」を選択します。アグリゲータ AWS Config を表示します。
- Creating Aggregators using Individual Accounts (AWS CLI)
-
-
コマンドプロンプトまたはターミナルウィンドウを開きます。
-
次のコマンドを入力して、
MyAggregator
という名前のアグリゲータを作成します。aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"
AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]"account-aggregation-sources
については、次のいずれかを入力します。-
データを集約する AWS アカウント IDs のカンマ区切りリスト。アカウント ID を角括弧で囲み、必ず疑問符をエスケープします (例:
"[{\"AccountIds\": [\"
)。AccountID1
\",\"AccountID2
\",\"AccountID3
\"],\"AllAwsRegions\": true}]" -
カンマ区切り AWS アカウント IDs の JSON ファイルをアップロードすることもできます。次の構文を使用して、ファイルをアップロードします。
--account-aggregation-sources
MyFilePath/MyFile.json
JSON ファイルの形式は、次のようになります。
[ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
-
-
Enter キーを選択して、コマンドを実行します。
次のような出力が表示されます:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }
-
- Creating Aggreagtors using AWS Organizations (AWS CLI)
-
この手順を開始する前に、管理アカウントまたは登録済みの委任された管理者にサインインしていて、すべての機能が組織で有効になっている必要があります。
注記
委任管理者がアグリゲータを作成する前に、管理アカウントが委任管理者を次の AWS Config サービスプリンシパル名 (
config.amazonaws.com
とconfig-multiaccountsetup.amazonaws.com
) の両方に登録していることを確認します。委任された管理者を登録するには、委任された管理者の登録 を参照してください。-
コマンドプロンプトまたはターミナルウィンドウを開きます。
-
AWS Config アグリゲータの IAM ロールを作成していない場合は、次のコマンドを入力します。
aws iam create-role --role-name
OrgConfigRole
--assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"注記
AWS Config アグリゲータを作成するときに使用するために、この IAM ロールから Amazon リソースネーム (ARN) をコピーします。ARN はレスポンスオブジェクト内にあります。
-
IAM ロールにポリシーをアタッチしていない場合は、 AWSConfigRoleForOrganizations管理ポリシーをアタッチするか、次のコマンドを入力します。
aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'
-
次のコマンドを入力して、
MyAggregator
という名前のアグリゲータを作成します。aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"
Complete-Arn
\",\"AllAwsRegions\": true}" -
Enter キーを選択して、コマンドを実行します。
次のような出力が表示されます:
{ "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:
Region
:AccountID
:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume
:role/name-of-role
" }, "LastUpdatedTime": 1517942461.442 } }
-