翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチアカウントマルチリージョンのデータ集約
アグリゲータは、以下から AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。
-
複数のアカウントと複数の AWS リージョン。
-
1 つのアカウントと複数の AWS リージョン。
-
の組織 AWS Organizations と、その組織内で AWS Config が有効になっているすべてのアカウント。
リソース設定と、 AWS Configに記録されたコンプライアンスデータを表示するには、アグリゲータを使用します。アグリゲータは Amazon S3 バケットを使用して集約データを保存します。ソースアカウントから設定スナップショットを定期的に取得し、指定された S3 バケットに保存します。次の図は、アグリゲータが複数のアカウントとリージョンから AWS Config データを収集する方法を示しています。
![この画像は、 AWS Config データ集約の手順を示しています。複数のソースアカウントと AWS リージョンからデータを収集し、リソース設定情報とコンプライアンスデータを集約し、管理に役立つ集約ビューを提示します。](images/Aggregate_Data_Landing_Page_Diagram.png)
ユースケース
-
コンプライアンスモニタリング: コンプライアンスデータを集約して、組織の全体的なコンプライアンス体制、またはアカウントとリージョンを横断して評価できます。
-
変更の追跡: 組織全体、またはアカウントとリージョン間で、リソースに対する変更を経時的に追跡できます。
-
リソース関係 : 組織全体、またはアカウントとリージョン間でリソースの依存関係と関係を分析できます。
注記
アグリゲータは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることで、アグリゲータが表示を許可されているソースアカウントとリージョンへの読み取り専用ビューを提供します。アグリゲータは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを介してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりすることはできません。
アグリゲータを使用しても、追加コストは発生しません。
用語
ソースアカウントは、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizationsの組織を指定できます。ソースアカウントは個別に提供することも、 を通じて取得することもできます AWS Organizations。
ソースリージョンは、 AWS Config 設定およびコンプライアンスデータを集約する AWS リージョンです。
アグリゲータアカウントは、アグリゲータを作成するアカウントです。
承認とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。
データを集約する方法
ソースアカウントとリージョンから AWS Config データを集約するには、以下から始めます。
-
アグリゲータを追加して、複数のアカウント AWS Config とリージョンの設定データとコンプライアンスデータを集約します。詳細については、「コンソールを使用したアグリゲータのセットアップ」および「を使用したアグリゲータのセットアップ AWS Command Line Interface」を参照してください。
-
アグリゲータアカウントが AWS Config 設定およびコンプライアンスデータを収集することを許可します。詳細については、「コンソールを使用して AWS Config 設定およびコンプライアンスデータを収集するアグリゲータアカウントの承認」および「を使用してアグリゲータアカウントが AWS Config 設定およびコンプライアンスデータを収集することを許可する AWS Command Line Interface」を参照してください。
注記
アグリゲーターには、個別アカウントアグリゲータと組織アグリゲータの 2 種類があります
個々のアカウントアグリゲータの場合、外部アカウントリージョンまたは組織メンバーアカウントリージョンを含む、含まれているソースアカウントリージョンには承認が必要です。
組織アグリゲータの場合、認可は Organizations サービスと統合されているため、組織メンバーアカウントリージョンに認可は必要ありません。
-
集約ビューでルールとアカウントのコンプライアンスデータをモニタリングします。詳細については、「アグリゲータダッシュボードでのコンプライアンスおよびインベントリデータの表示」を参照してください。
リージョンのサポート
現在、マルチアカウントマルチリージョンのデータ集約は、次のリージョンでサポートされています。
リージョン名 | リージョン | エンドポイント | プロトコル |
---|---|---|---|
米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
マルチアカウントマルチリージョンのデータ集約のトラブルシューティング
AWS Config は、次のいずれかの理由でソースアカウントからデータを集約しない場合があります。
発生した問題 | この操作を行います |
---|---|
AWS Config は、組織内のアカウントのソースアカウントで有効になっていません。 | ソースアカウント AWS Config で を有効にし、アグリゲータアカウントがデータを収集することを許可します。 |
アグリゲータアカウントに承認が与えられていない。 | ソースアカウントにサインインし、 AWS Config データを収集する権限をアグリゲータアカウントに付与します。 |
一時的な問題により、データの集約ができない可能性があります。 | データの集約には遅延が発生する可能性があります。数分待ちます。 |
AWS Config は、次のいずれかの理由で組織からデータを集約しない場合があります。
発生した問題 | この操作を行います |
---|---|
AWS Config IAM ロールが無効であるため、 は組織の詳細にアクセスできません。 | IAM ロールを作成するか、IAM ロールのリストから有効な IAM ロールを選択します。注記IAM ロールが 24 時間以上無効な場合、 は組織全体のデータ AWS Config を削除します。 |
AWS Config サービスアクセスは組織内で無効になっています。 | EnableAWSServiceAccess API AWS Organizations を使用して AWS Config と の統合を有効にできます。コンソールで組織を追加を選択すると、 は AWS Config と の統合 AWS Config を自動的に有効にします AWS Organizations。 |
AWS Config 組織ですべての機能が有効になっていないため、 は組織の詳細にアクセスできません。 | AWS Organizations コンソールですべての機能を有効にします。 |
アカウントの追加、アカウントの削除、サービスアクセスの有効化、サービスアクセスの無効化などの組織変更は、中東 (バーレーン) とアジアパシフィック (香港) のリージョンではすぐに更新されません。 | 組織変更には 2 時間の遅延が発生する可能性があります。2 時間待ってから、組織変更をすべて確認してください。 |