管理する AWS Config 組織内のすべてのアカウントにわたるルール - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理する AWS Config 組織内のすべてのアカウントにわたるルール

重要

組織ルールは、 APIまたは を使用してのみ作成できますCLI。このオペレーションは、 ではサポートされていません。 AWS Config console。

AWS Config では、 を管理できます。 AWS Config すべての にわたる ルール AWS アカウント 組織内の 。次のようにできます。

  • 一元的な作成、更新、削除 AWS Config 組織内のすべてのアカウントの ルール。

  • の共通セットをデプロイする AWS Config すべての アカウントの ルールと、 で アカウントを指定する AWS Config ルールは作成しないでください。

  • の管理アカウントAPIsから を使用する AWS Organizations 基盤となる を確実にすることでガバナンスを強制する AWS Config ルールは、組織のメンバーアカウントでは変更できません。

考慮事項

異なるリージョンにまたがるデプロイの場合

アカウント間でルールとコンフォーマンスパックをデプロイするAPI呼び出しは、 AWS リージョン固有。他のリージョンにルールをデプロイする場合は、組織レベルでAPI通話のコンテキストを別のリージョンに変更する必要があります。例えば、米国東部 (バージニア北部) にルールをデプロイするには、リージョンを米国東部 (バージニア北部) に変更し、PutOrganizationConfigRule を呼び出します。

組織内のアカウントの場合

新しいアカウントが組織に参加すると、ルールまたはコンフォーマンスパックはそのアカウントにデプロイされます。アカウントが組織を離脱すると、そのルールまたはコンフォーマンスパックは削除されます。

組織のルールまたはコンフォーマンスパックを組織管理者アカウントでデプロイし、委任された管理者を確立して、委任された管理者アカウントに組織のルールまたはコンフォーマンスパックをデプロイした場合、委任された管理者アカウントから、組織のルールやコンフォーマンスパックを表示したり、組織の管理者アカウントから、委任された管理者アカウントで組織のルールやコンフォーマンスパックを表示したりすることはできません。DescribeOrganizationConfigRulesDescribeOrganizationConformancePacksAPIsは、それらの を呼び出すアカウント内からデプロイされた組織関連のリソースのみを表示して操作できますAPIs。

組織に追加された新しいアカウントに対する再試行メカニズム

レコーダーが利用できない場合、組織の既存のルールと組織のコンフォーマンスパックのデプロイは、アカウントを組織に追加してから 7 時間のみ再試行されます。組織にアカウントを追加してから 7 時間以内にレコーダーが存在しない場合は、レコーダーを作成する必要があります。

組織管理アカウント、委任された管理者、およびサービスにリンクされたロール

組織管理アカウントを使用していて、組織のデプロイに委任管理者を使用する場合は、次の点に注意してください。 AWS Config は、サービスにリンクされたロール () を自動的に作成しませんSLR。を使用して、サービスにリンクされたロール (SLR) を手動で作成する必要がありますIAM。

管理アカウントに がない場合、委任された管理者アカウントからそのSLRアカウントにリソースをデプロイすることはできません。引き続きデプロイできます AWS Config 管理アカウントと委任された管理者アカウントからメンバーアカウントへの ルール。詳細については、「」の「サービスにリンクされたロールの使用」を参照してください。 AWS Identity and Access Management (IAM) ユーザーガイド

デプロイ

統合方法の詳細については、「」を参照してください。 AWS Config with AWS Organizations、「」を参照してください。 AWS Config また、 AWS Organizations ()AWS Organizations ユーザーガイド。以下を確認してください。 AWS Config 以下を使用して APIsを管理する前に、 の記録がオンになっている AWS Config すべての にわたる ルール AWS アカウント 組織内:

リージョンのサポート

デプロイ AWS Config のメンバーアカウント間のルール AWS Organization は、次のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS