組織のすべてのアカウント全体で AWS Config ルールを管理する - AWS Config

組織のすべてのアカウント全体で AWS Config ルールを管理する

AWS Config により、組織内のすべての AWS アカウント全体で AWS Config ルールを管理できます。次のようにできます。

  • 組織内のすべてのアカウント全体で、AWS Config ルールを一元的に作成、更新、削除する。

  • すべてのアカウント間で共通の AWS Config ルールのセットをデプロイし、AWS Config ルールを作成しないアカウントを指定する。

  • 基盤となる AWS Config ルールが組織のメンバーアカウントによって変更可能でないことを確認することにより、AWS Organizations の管理者アカウントから API を使用し、ガバナンスを適用する。

注記

異なるリージョンにまたがるデプロイの場合

アカウント間でルールとコンフォーマンスパックをデプロイする API コールは、リージョン固有のものです。他のリージョンにルールをデプロイする場合は、組織レベルで API コールのコンテキストを別のリージョンに変更する必要があります。例えば、米国東部 (バージニア北部) にルールをデプロイするには、リージョンを米国東部 (バージニア北部) に変更し、PutOrganizationConfigRule を呼び出します。

組織内のアカウントの場合

新しいアカウントが組織に参加すると、ルールまたはコンフォーマンスパックはそのアカウントにデプロイされます。アカウントが組織を離脱すると、そのルールまたはコンフォーマンスパックは削除されます。

組織のルールまたはコンフォーマンスパックを組織管理者アカウントでデプロイし、委任された管理者を確立して、委任された管理者アカウントに組織のルールまたはコンフォーマンスパックをデプロイした場合、委任された管理者アカウントから、組織のルールやコンフォーマンスパックを表示したり、組織の管理者アカウントから、委任された管理者アカウントで組織のルールやコンフォーマンスパックを表示したりすることはできません。DescribeOrganizationConfigRules および DescribeOrganizationConformancePacks API は、これらの API を呼び出すアカウント内からデプロイされた組織関連リソースのみを表示および操作できます。

組織に追加された新しいアカウントに対する再試行メカニズム

レコーダーが利用できない場合、組織の既存のルールと組織のコンフォーマンスパックのデプロイは、アカウントを組織に追加してから 7 時間のみ再試行されます。組織にアカウントを追加してから 7 時間以内にレコーダーが存在しない場合は、レコーダーを作成する必要があります。

以下の API を使用して組織内のすべての AWS アカウントの AWS Config ルールを管理する前に、AWS Config 記録がオンになっていることを確認します。

リージョンのサポート

AWS 組織内のメンバーアカウント間での AWS Config ルールのデプロイは、以下のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS