Compliance のためのリソースデータ同期の作成
AWS Systems Manager のリソースデータ同期機能を使用して、すべてのマネージドノードからターゲットの Amazon Simple Storage Service (Amazon S3) バケットにコンプライアンスデータを送信できます。同期を作成するときは、複数の AWS アカウント、AWS リージョン およびオンプレミスのハイブリッドおよびマルチクラウド環境からのマネージドノードを指定できます。その後、リソースデータの同期により、新しいコンプライアンスデータが収集されると一元化されたデータが自動的に更新されます。ターゲット S3 バケットに保存されたすべてのコンプライアンスデータに対して、Amazon Athena や Amazon QuickSight などのサービスを使用して集計データのクエリや分析ができます。Compliance のためのリソースデータ同期の設定は、1 回限りの操作です。
次の手順に従って、AWS Management Console を使用して Compliance のためのリソースデータ同期の作成を行います。
リソースデータの同期用に S3 バケットを作成して設定するには (コンソール)
https://console.aws.amazon.com/s3/
で Amazon S3 コンソールを開きます。 -
集計されたコンプライアンスデータを保存するバケットを作成します。詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットの作成」を参照してください。バケット名とそれを作成した AWS リージョン を書き留めます。
-
バケットを開き、[Permissions (アクセス許可)] タブ、[Bucket Policy (バケットポリシー)] の順に選択します。
-
次のバケットポリシーをコピーし、ポリシーエディタに貼り付けます。amzn-s3-demo-bucket と
Account-ID
を、作成した S3 バケットの名前と有効な AWS アカウント ID に置き換えます。任意で、Bucket-Prefix
を Amazon S3 プレフィックス (サブディレクトリ) に置き換えます。プレフィックスを作成しなかった場合は、Bucket-Prefix
/ をこのポリシーの ARN から削除します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/
Bucket-Prefix
/*/accountid=Account_ID_number
/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
リソースデータの同期を作成するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 ナビゲーションペインで、[Fleet Manager] を選択します。
-
[アカウント管理]、[リソースデータの同期] の順に選択し、[リソースデータの同期の作成] を選択します。
-
[Sync name] フィールドに、同期設定の名前を入力します。
-
[Bucket name] フィールドに、この手順の最初で作成した Amazon S3 バケットの名前を入力します。
-
(オプション) [Bucket prefix] フィールドに、S3 バケットのプレフィックス (サブディレクトリ) の名前を入力します。
-
作成した S3 バケットが現在の AWS リージョン にある場合は、[バケットリージョン] フィールドで [このリージョン] を選択します。バケットが他の AWS リージョン にある場合は、[Another region(別のリージョン)] を選択して、リージョンの名前を入力します。
注記
同期とターゲット S3 バケットが異なるリージョンにある場合は、データ転送料金が発生する場合があります。詳細については、Amazon S3 の料金
を参照してください。 -
[Create] (作成) を選択します。