アグリゲータアカウントで AWS Config 設定とコンプライアンスデータの収集を承認する
認証とは、AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与する権限です。AWS Organizations の一部であるソースアカウントを集約する場合、承認は必要ありません。AWS Config コンソールまたは AWS CLI を使用して、アグリゲータアカウントを承認できます。
考慮事項
アグリゲータには、個別アカウントアグリゲータと組織アグリゲータの 2 種類があります
個人アカウントアグリゲータの場合、外部アカウントとリージョン、組織のメンバーアカウントとリージョンの両方を含め、希望するすべてのソースアカウントとリージョンの承認が必要です。
組織アグリゲータの場合、認可は AWS Organizations サービスと統合されるため、組織メンバーアカウントリージョンに対する認可は必要ありません。
アグリゲータでは、ユーザーに変わって AWS Config を自動的に有効にすることはありません。
AWS Config ソースアカウントとリージョンで AWS Config データが生成するには、どちらのタイプのアグリゲータに対しても、ソースアカウントとリージョンで有効にする必要があります。
認証の追加
- Adding Authorization (Console)
-
承認を追加して、アグリゲータアカウントとリージョンによる AWS Config 設定とコンプライアンスデータ収集の権限を付与できます。
AWS マネジメントコンソール にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/home) を開きます。
-
[認証] ページに移動し、[承認の追加] を選択します。
-
[アグリゲータアカウント] に、アグリゲータアカウントの 12 桁のアカウント ID を入力します。
-
[アグリゲータのリージョン] で、アグリゲータアカウントが AWS Config 設定とコンプライアンスデータの収集を許可される AWS リージョン を選択します。
-
[承認の追加] を選択して、選択を確定します。
AWS Config に、アグリゲータアカウント、リージョン、承認のステータスが表示されます。
- Authorizing a Pending Request (Console)
-
既存のアグリゲータアカウントからの保留中の承認リクエストがある場合、[認証] ページにリクエストのステータスが表示されます。このページから、保留中のリクエストを承認することができます。
-
承認するアグリゲータアカウントを選択し、[承認] を選択します。
アグリゲータアカウントに、このアカウントから AWS Config データを収集するためのアクセス権限を付与するかどうかの確認メッセージが表示されます。
-
再度 [承認] を選択し、アグリゲータアカウントへのアクセス権限の付与を確認します。
認証のステータスが、[認証のリクエスト] から [承認済] に変わります。
アクセス権限の承認期間
ソースアカウントを個人アカウントアグリゲータに追加するには、アクセス権限の承認が必要です。承認待ちのリクエストは、個人アカウントアグリゲータによるソースアカウントの追加後 7 日間有効です。
- Adding Authorization (AWS CLI)
-
-
コマンドプロンプトまたはターミナルウィンドウを開きます。
-
次のコマンドを入力します。
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
-
次のような出力が表示されます:
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
