Prerequisites - AWS Config

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Prerequisites

コンフォーマンスパックをデプロイする前に、 AWS Config 記録。

開始 AWS Config 記録

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/config/ にある AWS Config コンソールを開きます。

  2. ナビゲーションペインで [Settings] を選択します。

  3. 記録を開始するには、[Recording is off (記録はオフ)] の [Turn on (有効)] を選択します。プロンプトが表示されたら、[続行] を選択します。

修復を伴うコンフォーマンスパックを使用するための前提条件

修復を伴うサンプルテンプレートを使用してコンフォーマンスパックをデプロイする前に、修復ターゲットに基づいて、自動化継承ロールやその他の AWS リソースなどの適切なリソースを作成する必要があります。

SSM ドキュメントを使用して修復に使用している既存の自動化ロールがある場合は、そのロールの ARN を直接提供できます。リソースがある場合は、テンプレートにリソースを提供できます。

AWS Config は、オートメーション実行ロールの AWS CloudFormation 組み込み関数をサポートしていません。ロールの正確な ARN を文字列として指定する必要があります。

正確な ARN を渡す方法の詳細については、「コンフォーマンスパックのサンプルテンプレート」を参照してください。サンプルテンプレートの使用中に、組織のアカウント ID とマスターアカウント ID を更新します。

1 つ以上の AWS Config ルールでコンフォーマンスパックを使用する場合の前提条件

1 つ以上のカスタム AWS Config ルールを含むコンフォーマンスパックをデプロイする前に、AWS Lambda 関数や対応する実行ロールなどの適切なリソースを作成します。

既存のカスタム AWS Config ルールがある場合は、AWS Lambda 関数の ARN を直接指定して、そのカスタムルールの別のインスタンスをパックの一部として作成できます。

既存のカスタム AWS Config ルールがない場合は、AWS Lambda 関数を作成し、その Lambda 関数の ARN を使用できます。詳細については、AWS Config カスタムルール を参照してください。

AWS Lambda 関数が別の AWS アカウントに存在する場合は、適切なクロスアカウント AWS Lambda 関数認証を使用して AWS Config ルールを作成できます。詳細については、ブログ投稿の「How to Centrally Manage AWS Config Rules across Multiple AWS Accounts」を参照してください。

組織コンフォーマンスパックの前提条件

入力テンプレートに自動修復設定がある場合は、その修復のオートメーション実行ロール ARN をテンプレートで指定します。指定した名前のロールが、組織のすべてのアカウント (マスターとメンバー) に存在することを確認します。この役割は、すべてのアカウントで作成してから、 PutOrganizationConformancePack. この役割は手動で作成することも、 AWS CloudFormation すべてのアカウントでこの役割を作成します。

テンプレートで AWS CloudFormation 組み込み関数 Fn::ImportValue を使用して特定の変数をインポートする場合、その変数は、その組織のすべてのメンバーアカウントで Export Value として定義する必要があります。

カスタム AWS Config ルールについては、「How to Centrally Manage AWS Config Rules across Multiple AWS Accounts」のブログを参照して適切なアクセス権限を設定してください。