コンソールを使用した AWS Config 設定とコンプライアンスデータを収集するアグリゲータアカウントの承認

AWS Config により、AWS Config 設定とコンプライアンスデータを収集するアグリゲータアカウントを承認できます。

AWS Organizations の一部であるソースアカウントを集約する場合、このフローは必要ありません。

[Authorizations (承認)] ページでは、以下の操作を実行できます。

• 承認を追加し、アグリゲータアカウントとリージョンによる AWS Config 設定とコンプライアンスデータの収集を許可する。

• アグリゲータアカウントからの AWS Config 設定とコンプライアンスデータ収集の保留中のリクエストを承認する。

• アグリゲータアカウントの承認を削除する。

アグリゲータアカウントとリージョンの承認の追加

承認を追加して、アグリゲータアカウントとリージョンによる AWS Config 設定とコンプライアンスデータ収集の権限を付与できます。

1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/config/ にある AWS Config コンソールを開きます。

2. [Authorizations (承認)] ページに移動し、[Add authorization (承認の追加)] を選択します。

3. [Aggregator account (アグリゲータアカウント)] に、アグリゲータアカウントの 12 桁のアカウント ID を入力します。

4. [Aggregator region (集約リージョン)] で、アグリゲータアカウントが AWS Config 設定とコンプライアンスデータの収集を許可される AWS リージョンを選択します。

5. [Add authorization (承認の追加)] を選択して、選択を確定します。

   AWS Config に、アグリゲータアカウント、リージョン、および承認のステータスが表示されます。

   注記

   AWS CloudFormation サンプルテンプレートを使用してプログラムでアグリゲータアカウントとリージョンに承認を追加することもできます。詳細については、『AWS CloudFormation ユーザーガイド』の「AWS::Config::AggregationAuthorization」を参照してください。

アグリゲータアカウントの保留中のリクエストの承認

既存のアグリゲータアカウントからの保留中の承認リクエストがある場合、[Authorizations (承認)] ページにリクエストのステータスが表示されます。このページから、保留中のリクエストを承認することができます。

1. 承認するアグリゲータアカウントで、[Actions (アクション)] 列の [Authorize (承認)] を選択します。

   

   確認メッセージが表示され、アグリゲータアカウントとリージョンに、AWS Config データを収集するためのアクセス権限を付与することを確認します。

2. [Authorize (承認)] を選択して、アグリゲータアカウントとリージョンにこのアクセス許可を付与します。

   承認のステータスが、[Requesting for authorization (承認をリクエスト中)] から [Authorized (承認済)] に変わります。

既存のアグリゲータアカウントからの承認の削除

1. 承認を削除するアグリゲータアカウントで、[Actions (アクション)] 列の [Delete (削除)] を選択します。

   警告メッセージが表示されます。この承認を削除すると、AWS Config データはアグリゲータアカウントと共有されません。

   注記

   アグリゲータの承認が削除された後で、データは削除されるまで最大 24 時間アグリゲータのアカウントに残ります。

2. [Delete (削除)] を選択して、選択を確定します。

   アグリゲータのアカウントが削除されます。

詳細はこちら

• AWS Config の概念

• コンソールを使用したアグリゲータのセットアップ

• 集約ビューでの設定とコンプライアンスデータの表示

• マルチアカウントマルチリージョンのデータ集約のトラブルシューティング