宣言型ポリシーのアカウントステータスレポートを生成する - AWS Organizations
前提条件コンプライアンスステータスレポートにアクセスする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

宣言型ポリシーのアカウントステータスレポートを生成する

アカウントステータスレポートでは、対象アカウントの宣言型ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。

このレポートは、リージョンの内訳と、属性の現在の状態がアカウント間で統一されている (numberOfMatchedAccounts 経由) か、一貫性がない (numberOfUnmatchedAccounts 経由) かを示すため、準備状況を評価するのに役立ちます。また、最も頻繁にみられる値を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。

ベースライン設定の適用のために宣言型ポリシーをアタッチするかどうかの選択は、ユースケースに応じて異なります。

詳細と具体的な例については、「宣言型ポリシーのアカウントステータスレポート」を参照してください。

前提条件

アカウントステータスレポートを生成する前に、次のステップを実行する必要があります。

  1. 組織の管理アカウントまたは委任された管理者のみが StartDeclarativePoliciesReport API を呼び出すことができます。

  2. レポートを生成する前に S3 バケットが必要です (新しいバケットを作成するか既存のバケットを使用)。S3 バケットは、リクエストが行われるリージョンと同じリージョンにあり、適切な S3 バケットポリシーを持っている必要があります。S3 ポリシーのサンプルについては、「Amazon EC2 API リファレンス」の「」にある「Sample Amazon S3 policy」を参照してください。

  3. 宣言型ポリシーがベースライン設定を適用するサービスに対して、信頼アクセスを有効にする必要があります。これにより、読み取り専用のサービスにリンクされたロールが作成されます。このロールを使用して、組織全体のアカウントの既存設定に関するアカウントステータスレポートを生成することができます。

    コンソールの使用

    Organizations コンソールの場合、このステップは宣言型ポリシーを有効にするプロセスの一部です。

    の使用 AWS CLI

    には AWS CLI、EnableAWSServiceAccess API を使用します。

    で特定のサービスの信頼されたアクセスを有効にする方法の詳細については、AWS のサービスAWS Organizations AWS CLI 「」を参照してください。

  4. 一度に生成できるレポートは、組織ごとに 1 つだけです。別のレポートの進行中にレポートを生成しようとすると、エラーが発生します。

コンプライアンスステータスレポートにアクセスする

最小アクセス許可

コンプライアンスステータスレポートを生成するには、次のアクションを実行可能なアクセス許可が必要です。

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

注記

Amazon S3 バケットで SSE-KMS 暗号化を使用している場合は、ポリシーに kms:GenerateDataKey アクセス許可も含める必要があります。

AWS マネジメントコンソール

アカウントステータスレポートを生成するには、次の手順に従います。

アカウントステータスレポートを生成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. [ポリシー] ページで、[EC2 の宣言型ポリシー] を選択します。

  3. [EC2 の宣言型ポリシー] ページで、[アクション] ドロップダウンメニューから [アカウントステータスレポートを表示] を選択します。

  4. [アカウントステータスレポートを表示] ページで、[ステータスレポートを生成] を選択します。

  5. [組織構造] ウィジェットで、レポートに含める組織単位 (OU) を指定します。

  6. [Submit] を選択してください。

AWS CLI & AWS SDKs

アカウントステータスレポートを生成するには

次の操作を実行してコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示します。

  • ec2:start-declarative-policies-report: アカウントステータスレポートを生成します。レポートは非同期的に生成され、完了までに数時間かかる場合があります。詳細については、「Amazon EC2 API リファレンス」の「StartDeclarativePoliciesReport」を参照してください。

  • ec2:describe-declarative-policies-report: レポートの状態など、アカウントステータスレポートのメタデータを記述します。詳細については、「Amazon EC2 API リファレンス」の「DescribeDeclarativePoliciesReports」を参照してください。

  • ec2:get-declarative-policies-report-summary: アカウントステータスレポートの概要を取得します。詳細については、「Amazon EC2 API リファレンス」の「GetDeclarativePoliciesReportSummary」を参照してください。

  • ec2:cancel-declarative-policies-report: アカウントステータスレポートの生成をキャンセルします。詳細については、「Amazon EC2 API リファレンス」の「CancelDeclarativePoliciesReport」を参照してください。

レポートを生成する前に、レポートが保存される Amazon S3 バケットへのアクセス権を EC2 宣言型ポリシープリンシパルに付与してください。付与するためには、以下のポリシーをバケットにアタッチします。amzn-s3-demo-bucket を実際の Amazon S3 バケット名に置き換え、identity_ARNStartDeclarativePoliciesReport API の呼び出しに使用される IAM ID に置き換えます。

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}