AWS Command Line Interface を使用したアグリゲータのセットアップ - AWS Config

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Command Line Interface を使用したアグリゲータのセットアップ

AWS Command Line Interface (AWS CLI) を使用して、AWS Config アグリゲータデータを作成、表示、更新、削除できます。AWS マネジメントコンソールを使用する方法については、「コンソールを使用したアグリゲータのセットアップ」を参照してください。

AWS CLI は、AWS のサービスを管理するための統合ツールです。ダウンロードおよび設定用の単一のツールのみを使用して、コマンドラインから複数の AWS のサービスを制御し、スクリプトを使用してそれらを自動化できます。

AWS CLI をローカルマシンにインストールする方法については、http://docs.aws.amazon.com/cli/latest/userguide/installing.html ユーザーガイドの「AWS CLIAWS CLI のインストール」を参照してください。

必要に応じて、「aws configure」と入力し、AWS CLI が AWS Config アグリゲータを利用できる AWS リージョンを使用するように設定します。

個別のアカウントを使用したアグリゲータの追加

  1. コマンドプロンプトまたはターミナルウィンドウを開きます。

  2. 次のコマンドを入力して、MyAggregator という名前のアグリゲータを作成します。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    [account-aggregation-sources] で、次のいずれかを入力します。

    • データを集約する AWS アカウント IDs のカンマ区切りリスト。アカウント IDs を角括弧で囲み、必ず引用符をエスケープします (例: "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]")。

    • カンマ区切りの AWS アカウント IDs の JSON ファイルをアップロードすることもできます。 次の構文を使用してファイルをアップロードします。--account-aggregation-sources MyFilePath/MyFile.json

      JSON ファイルの形式は、次のようになります。

    [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ]
  3. Enter キーを選択して、コマンドを実行します。

    次のような出力が表示されます。

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } }

AWS Organizations を使用したアグリゲータの追加

この手順を開始する前に、管理アカウントまたは登録された委任管理者にサインインし、組織のすべての機能を有効にする必要があります。

注記

委任管理者がアグリゲータを作成する前に、管理アカウントが AWS Config サービスプリンシパル名 (config.amazonaws.com) の管理者を遅延させることを確認してください。委任管理者を登録するには、「委任管理者の登録」を参照してください。

  1. コマンドプロンプトまたはターミナルウィンドウを開きます。

  2. 次のコマンドを入力して、MyAggregator という名前のアグリゲータを作成します。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"
  3. Enter キーを選択して、コマンドを実行します。

    次のような出力が表示されます。

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 } }

委任管理者の登録

委任された管理者は、特定の AWS Organization 内のアカウントであり、指定された AWS サービスに対する追加の管理者権限が付与されます。

  1. 管理アカウントの認証情報を使用してログインします。

  2. コマンドプロンプトまたはターミナルウィンドウを開きます。

  3. 次のコマンドを入力して、サービスのアクセスを有効にします。

    aws organizations enable-aws-service-access --service-principal config.amazonaws.com
  4. サービスへのアクセスを有効にするかどうか確認するには、次のコマンドを入力し、Enter キーを押してコマンドを実行します。

    aws organizations list-aws-service-access-for-organization

    次のような出力が表示されます。

    { "EnabledServicePrincipals": [ { "ServicePrincipal": "config.amazonaws.com", "DateEnabled": 1607020860.881 } ] }
  5. 次に、次のコマンドを入力して、メンバーアカウントを AWS Config の委任管理者として登録します。

    aws organizations register-delegated-administrator --service-principal config.amazonaws.com --account-id MemberAccountID
  6. 委任管理者の登録が完了していることを確認するには、次のコマンドを入力し、Enter キーを押してコマンドを実行します。

    aws organizations list-delegated-administrators --service-principal config.amazonaws.com

    次のような出力が表示されます。

    { "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::MemeberAccountID:account/o-c7esubdi38/DelegatedAdministratorAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp": 1604867734.48, "DelegationEnabledDate": 1607020986.801 } ] }

アグリゲータの表示

  1. 次のコマンドを入力します。

    aws configservice describe-configuration-aggregators
  2. ソースアカウントに応じて、次のような出力が表示されます。

    個別のアカウントの場合

    { "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }

    または

    組織の場合

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 } }

アグリゲータの編集

  1. 設定アグリゲータを更新または編集するには、put-configuration-aggregator コマンドを使用できます。

    次のコマンドを入力して、新しいアカウント ID を MyAggregator に追加します。

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
  2. ソースアカウントに応じて、次のような出力が表示されます。

    個別のアカウントの場合

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-xz2upuu6", "CreationTime": 1517952090.769, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3", "AccountID4" ] } ], "LastUpdatedTime": 1517952566.445 } }

    または

    組織の場合

    { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3" }, "LastUpdatedTime": 1517942461.442 } }

アグリゲータの削除

AWS CLI を使用して設定アグリゲータを削除するには

  • 次のコマンドを入力します。

    aws configservice delete-configuration-aggregator --configuration-aggregator-name MyAggregator

    成功すると、コマンドは追加の出力なしで実行されます。

詳細はこちら