AWSSupport-SetupConfig - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-SetupConfig

説明

AWSSupport-SetupConfig ランブックでは、AWS Identity and Access Management (IAM) サービスにリンクされたロール、AWS Config による設定レコーダー、Amazon Simple Storage Service (Amazon S3) バケットを含む配信チャネルを作成します。このチャネルでは、AWS Config が設定スナップショットと設定履歴ファイルを送信します。AggregatorAccountId パラメータと AggregatorAccountRegion パラメータの値を指定すると、ランブックでは、複数の AWS アカウント と複数の AWS リージョン から AWS Config 設定とコンプライアンスデータを収集するためのデータ集約の承認も作成されます。複数のアカウントおよびリージョンからのデータの集約の詳細については、AWS Configデベロッパーガイドの「複数アカウントのマルチリージョンでのデータ集約」を参照してください。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

所有者

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

[Parameters] (パラメータ)

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • AggregatorAccountId

    型: 文字列

    説明: (オプション) 複数のアカウントおよび AWS リージョン からの AWS Config 設定とコンプライアンスデータを集約するためにアグリゲータが追加される AWS アカウント の ID。このアカウントは、アグリゲータがソースアカウントを承認するためにも使用されます。

  • AggregatorAccountRegion

    型: 文字列

    説明: (オプション) 複数のアカウントとリージョンからの AWS Config 設定とコンプライアンスデータを集約するためにアグリゲータが追加されるリージョン。

  • IncludeGlobalResourcesRegion

    型: 文字列

    デフォルト: us-east-1

    説明: (必須) 各リージョンでグローバルリソースデータが記録されるのを回避するには、グローバルリソースデータの記録元となるリージョンを 1 つ指定します。

  • パーティション

    型: 文字列

    デフォルト: aws

    説明: (必須) AWS Config の設定およびコンプライアンスデータを収集するパーティション。

  • S3BucketName

    型: 文字列

    デフォルト: aws-config-delivery-channel

    説明: (オプション) 配信チャネル用に作成された Amazon S3 バケットに用いる名前。アカウント ID は名前の末尾に追加されます。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:DescribeConfigurationRecorders

  • config:DescribeDeliveryChannels

  • config:PutAggregationAuthorization

  • config:PutConfigurationRecorder

  • config:PutDeliveryChannel

  • config:StartConfigurationRecorder

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • s3:CreateBucket

  • s3:ListAllMyBuckets

  • s3:PutBucketPolicy

ドキュメントステップ

  • aws:executeScript - AWS Config のサービスにリンクされた IAM ロールがまだ存在しない場合は、そのロールを作成します。

  • aws:executeScript - 設定レコーダーが存在しない場合は、設定レコーダーを作成します。

  • aws:executeScript - 配信チャネルによって使用される Amazon S3 バケットが存在しない場合は、Amazon S3 バケットを作成します。

  • aws:executeScript - ランブックによって作成されたリソースを使用して配信チャンネルを作成します。

  • aws:executeAwsApi - 設定レコーダーを起動します。

  • aws:executeScript - AggregatorAccountId パラメータと AggregatorAccountRegion パラメータの値を指定した場合、マルチアカウントおよびマルチリージョンデータ集約の承認が設定されます。