AWS Config の委任管理者の登録
委任された管理者は、指定された AWS 組織内のアカウントであり、特定の AWS のサービスに対する追加の管理権限が付与されています。詳細については、「AWS Organizations ユーザーガイド」の「委任された管理者」を参照してください。AWS CLI を使用して委任管理者を登録できます。
委任管理者の登録
-
管理アカウントの認証情報を使用してログインします。
-
コマンドプロンプトまたはターミナルウィンドウを開きます。
-
組織が、組織全体の AWS Config ルールと適合パックをデプロイおよび管理するために、委任された管理者としてサービスアクセスを有効にするには、次のコマンドを入力します。
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com -
組織が、組織全体の AWS Config データを集約するために、委任された管理者としてサービスアクセスを有効にするには、次のコマンドを入力します。
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com -
サービスアクセスの有効化が完了したかどうかを確認するには、次のコマンドを入力し、Enter キーを押してコマンドを実行します。
aws organizations list-aws-service-access-for-organization次のような出力が表示されます:
{ "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] } -
次に、次のコマンドを入力して、メンバーアカウントを AWS Config の委任された管理者として登録します。
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-idMemberAccountIDand
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-idMemberAccountID -
委任された管理者の登録が完了したかどうかを確認するには、管理アカウントから次のコマンドを入力し、Enter キーを押してコマンドを実行します。
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com.rproxy.govskope.caand
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com次のような出力が表示されます:
{ "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp":1604867734.48, "DelegationEnabledDate":1607020986.801} ] }
