前提条件 - AWS Config

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

前提条件

次の手順に従い、アタッチされたポリシーを使用して Amazon S3 バケット、Amazon SNS トピック、および IAM ロールを作成します。次に AWS CLI を使用して AWS Config のバケット、トピック、およびロールを指定できます。

Amazon S3 バケットを作成する

アカウントに Amazon S3 バケットがすでにあり、それを使用する場合は、このステップをスキップして「Amazon SNS トピックの作成」に進んでください。

AWS CLI で Amazon S3 バケットを作成するには、create-bucket コマンドを使用します。

コンソールで Amazon S3 バケットを作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [アクション]、[バケットを作成する] の順に選択します。

  3. [バケット名] に Amazon S3 バケットの名前 (my-config-bucket など) を入力します。

    注記

    バケット名は、Amazon S3 のどの既存バケット名とも重複しないように指定してください。バケットの作成後にバケット名を変更することはできません。バケットの命名規則と表記規則の詳細については、『Amazon Simple Storage Service 開発者ガイド』の「バケットの制約と制限」を参照してください。

  4. [Create] を選択します。

注記

別のアカウントの Amazon S3 バケットを使用することもできますが、AWS Config に対してアクセス許可を付与するバケットポリシーの作成が必要になる場合があります。Amazon S3 バケットへのアクセス許可の付与方法については、「Amazon S3 バケットへのアクセス許可」と「Amazon SNS トピックの作成」を順に参照してください。

Amazon SNS トピックの作成

アカウントに Amazon SNS トピックがすでにあり、それを使用する場合は、このステップをスキップして「IAM ロールを作成する」に進んでください。

AWS CLI で Amazon SNS トピックを作成するには、create-topic コマンドを使用します。

コンソールで Amazon SNS トピックを作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。

  2. [新しいトピックの作成] を選択します。

  3. [トピック名] に SNS トピックの名前 (my-config-notice など) を入力します。

  4. [トピックの作成] を選択します。

    新しいトピックが [トピックの詳細] ページに表示されます。次のタスクで使うため、[トピックの ARN] をコピーします。

    詳細については、『AWS General Reference』の「ARN 形式」を参照してください。

AWS Config から通知を受信するには、E メールアドレスをトピックにサブスクライブする必要があります。

E メールアドレスを SNS トピックにサブスクライブするには

  1. Amazon SNS コンソールのナビゲーションペインで、[Subscriptions (サブスクリプション)] を選択します。

  2. [Subscriptions (サブスクリプション)] ページで [サブスクリプションの作成] を選択します。

  3. [トピックの ARN] に、前のタスクでコピーしたトピックの ARN を貼り付けます。

  4. [Protocol] で [Email] を選択します。

  5. [エンドポイント] に通知の受け取りに使用する E メールアドレスを入力し、[Subscribe (サブスクライブ)] を選択します。

  6. E メールアプリケーションに移動して [AWS Notifications (AWS 通知)] からメッセージを開きます。リンクを選択してサブスクリプションを確認します。

    ウェブブラウザに Amazon SNS の確認画面が表示されます。Amazon SNS は、通知を受信し、通知を E メールとして指定された E メールアドレスに送信するように設定されました。

注記

別のアカウントの Amazon SNS トピックを使用することもできますが、その場合は、AWS Config に対するアクセス許可を付与するトピックポリシーの作成が必要になる場合があります。Amazon SNS トピックへのアクセス許可の付与方法については、「Amazon SNS トピックのアクセス許可」と「IAM ロールを作成する」を順に参照してください。

IAM ロールを作成する

IAM コンソールを使用して、Amazon S3 バケットへのアクセス許可、Amazon SNS トピックへのアクセス許可、サポートされている AWS リソースの設定詳細を取得するためのアクセス許可を AWS Config に付与する IAM ロールを作成できます。IAM ロールを作成したら、ポリシーを作成して、このロールにアタッチします。

AWS CLI で IAM ロールを作成するには、create-role コマンドを使用します。次に attach-role-policy コマンドを使用してポリシーをロールにアタッチします。

コンソールで IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. IAM コンソールのナビゲーションペインで、[ロール]、[新しいロールの作成] の順に選択します。

  3. [Role Name (ロール名)] に、ロールの目的がわかるような名前を入力します。ロール名は AWS アカウント内で一意でなければなりません。ロールは多くのエンティティにより参照されるため、作成後にロール名を変更することはできません。

    [Next Step] を選択します。

  4. [&AWS; Service Roles (AWS サービスロール)] を選択し、[AWS Config] の [Select (選択)] を選択します。

  5. [Attach Policy (ポリシーのアタッチ)] ページで、[AWSConfigRole] を選択します。この AWS マネージドポリシーでは、サポートされている AWS リソースの設定詳細を取得するアクセス許可を AWS Config に付与します。その後、[Next Step (次のステップ)] を選択します。

  6. [確認] ページで、ロールの詳細を確認し、[Create Role (ロールの作成)] を選択します。

  7. [Roles (ロール)] ページで、作成したロールを選択し、詳細ページを開きます。

Amazon S3 バケットと Amazon SNS トピックへのアクセス許可を AWS Config に付与するインラインポリシーを作成して、ロールのアクセス許可を拡張します。

Amazon S3 バケットへのアクセス許可を AWS Config に付与するインラインポリシーを作成するには

  1. [アクセス許可] セクションで、[Inline Policies (インラインポリシー)] セクションを展開し、[click here (ここをクリック)] を選択します。

  2. [Custom Policy (カスタムポリシー)]、[Select (選択)] の順に選択します。

  3. [ポリシー名] にインラインポリシーの名前を入力します。

  4. Amazon S3 バケットの IAM ロールのポリシー」から Amazon S3 バケットポリシーの例をコピーし、[Policy Document (ポリシードキュメント)] エディタに貼り付けます。

    重要

    次のステップに進む前に、ポリシーの以下の値を置き換えます。値を置き換えないと、ポリシーは失敗します。

    • myBucketName – Amazon S3 バケットの名前に置き換えます。

    • prefix – 独自のプレフィックスに置き換えるか、末尾の '/' を削除して空白にします。

    • myAccountID-WithoutHyphens – AWS アカウント ID に置き換えます。

  5. [Apply Policy] を選択します。

Amazon SNS トピックに通知を配信するアクセス許可を AWS Config に付与するインラインポリシーを作成するには

  1. [アクセス許可] セクションで、[Inline Policies (インラインポリシー)] セクションを展開し、[click here (ここをクリック)] を選択します。

  2. [Custom Policy (カスタムポリシー)]、[Select (選択)] の順に選択します。

  3. [ポリシー名] にインラインポリシーの名前を入力します。

  4. Amazon SNS トピックの IAM ロールのポリシー」から Amazon SNS トピックのポリシー例をコピーし、[Policy Document (ポリシードキュメント)] エディタに貼り付けます。

    重要

    次のステップに進む前に、arn:aws:sns:region:account-id:myTopic を Amazon SNS トピックの作成時に保存した ARN に置き換えます。

  5. [Apply Policy] を選択します。