翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織内のすべてのアカウントでの AWS Config ルールの管理
重要
組織のルールは、API または CLI を使用する場合に限り作成できます。このオペレーションは AWS Config コンソールではサポートされていません。
AWS Config では、組織 AWS アカウント 内のすべての で AWS Config ルールを管理できます。次のようにできます。
-
組織内のすべてのアカウントで AWS Config ルールを一元的に作成、更新、削除します。
-
すべてのアカウントに共通の AWS Config ルールセットをデプロイし、 AWS Config ルールを作成すべきではないアカウントを指定します。
-
の管理アカウントの APIs AWS Organizations を使用して、基盤となる AWS Config ルールが組織のメンバーアカウントによって変更されないようにすることでガバナンスを適用します。
考慮事項
異なるリージョンにまたがるデプロイの場合
アカウント間でルールとコンフォーマンスパックをデプロイする API コールは、 AWS リージョン固有です。他のリージョンにルールをデプロイする場合は、組織レベルで API コールのコンテキストを別のリージョンに変更する必要があります。例えば、米国東部 (バージニア北部) にルールをデプロイするには、リージョンを米国東部 (バージニア北部) に変更し、PutOrganizationConfigRule を呼び出します。
組織内のアカウントの場合
新しいアカウントが組織に参加すると、ルールまたはコンフォーマンスパックはそのアカウントにデプロイされます。アカウントが組織を離脱すると、そのルールまたはコンフォーマンスパックは削除されます。
組織のルールまたはコンフォーマンスパックを組織管理者アカウントでデプロイし、委任された管理者を確立して、委任された管理者アカウントに組織のルールまたはコンフォーマンスパックをデプロイした場合、委任された管理者アカウントから、組織のルールやコンフォーマンスパックを表示したり、組織の管理者アカウントから、委任された管理者アカウントで組織のルールやコンフォーマンスパックを表示したりすることはできません。DescribeOrganizationConfigRules および DescribeOrganizationConformancePacks APIs は、これらの APIs。
組織に追加された新しいアカウントに対する再試行メカニズム
レコーダーが利用できない場合、組織の既存のルールと組織のコンフォーマンスパックのデプロイは、アカウントを組織に追加してから 7 時間のみ再試行されます。組織にアカウントを追加してから 7 時間以内にレコーダーが存在しない場合は、レコーダーを作成する必要があります。
組織管理アカウント、委任管理者、サービスにリンクされたロール
組織管理アカウントを使用していて、組織のデプロイに委任管理者を使用する予定の場合は、 AWS Config によってサービスにリンクされたロール (SLR) が自動的に作成されないことに注意してください。IAM を使用して、サービスにリンクされたロール (SLR) を手動で作成する必要があります。
管理アカウントに SLR がない場合、委任された管理者アカウントからそのアカウントにリソースをデプロイすることはできません。管理アカウントと委任された管理者アカウントからメンバーアカウントに AWS Config ルールをデプロイすることはできます。詳細については、 (IAM) ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。 AWS Identity and Access Management
デプロイ
AWS Config と統合する方法については AWS Organizations、「 ユーザーガイド」のAWS Config 「」および AWS OrganizationsAWS Organizations 「」を参照してください。次の APIs を使用して組織 AWS アカウント 内のすべての で AWS Config ルールを管理する前に、 AWS Config 録画がオンになっていることを確認します。
-
PutOrganizationConfigRuleは、 AWS リソースが目的の設定に準拠しているかどうかを評価する組織全体の組織設定ルールを追加または更新します。
-
DescribeOrganizationConfigRulesは、組織設定ルールのリストを返します。
-
GetOrganizationConfigRuleDetailedStatusは、特定の組織設定ルールについて、組織内の各メンバーアカウントの詳細ステータスを返します。
-
GetOrganizationCustomRuleポリシー は、組織設定カスタムポリシールールのロジックを含むポリシー定義を返します。
-
DescribeOrganizationConfigRuleステータス は、組織の組織設定ルールのデプロイステータスを提供します。
-
DeleteOrganizationConfigRule、指定された組織設定ルールとそのすべての評価結果を、その組織内のすべてのメンバーアカウントから削除します。
リージョンのサポート
Organization のメンバーアカウント間での AWS Config ルールのデプロイ AWS は、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
