コンソールを使用したアグリゲータのセットアップ - AWS Config

コンソールを使用したアグリゲータのセットアップ

[Aggregator (アグリゲータ)] ページでは、以下の操作を実行できます。

  • データを集約するソースアカウント ID または組織とリージョンを指定して、アグリゲータを作成する。

  • アグリゲータを編集および削除する。

アグリゲータの作成

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. [Aggregators] (アグリゲータ) ページに移動し、[Create aggregator] (アグリゲータの作成) をクリックします。

  3. [Allow data replication (データのレプリケーションを許可)] では、ソースアカウントからアグリゲータアカウントにデータをレプリケートするアクセス許可を AWS Config に付与します。

    [Allow AWS Config to replicate data from source account(s) into an aggregator account] (AWS Config に、ソースアカウントからアグリゲータアカウントへのデータのレプリケートを許可する) をクリックします。続行してアグリゲータを追加するには、このチェックボックスをオンにする必要があります

  4. [Aggregator name (アグリゲータ名)] に、アグリゲータの名前を入力します。

    このアグリゲータ名は、最大 64 文字の英数字を含む一意の名前である必要があります。この名前には、ハイフンとアンダースコアを使用できます。

  5. [Select source accounts (ソースアカウントの選択)] で、データの集約元となる [Add individual account IDs (個別のアカウント ID の追加)] または [Add my organization (組織の追加)] を選択します。

    注記

    [Add individual account IDs] (個々のアカウント ID を追加する) を使用してソースアカウントを選択する場合は、認可が必要です。

    • [Add individual account IDs (個別のアカウント ID の追加)] を選択した場合は、アグリゲータアカウントの個別のアカウント ID を追加できます。

      1. アカウント ID を追加するには、[Add source accounts (ソースアカウントの追加)] を選択します。

      2. [Add AWS アカウント account IDs] (AWS アカウント ID の追加) をクリックして、カンマで区切られた AWS アカウント ID を手動で追加します。現在のアカウントからデータを集約する場合は、アカウントのアカウント ID を入力します。

        または

        [Upload a file] (ファイルのアップロード)をクリックして、カンマで区切られた AWS アカウント ID のファイル (.txt または .csv) をアップロードします。

      3. [Add source accounts (ソースアカウントの追加)] を選択して、選択を確定します。

    • [Add my organization (組織の追加)] を選択した場合、組織のすべてのアカウントをアグリゲータアカウントに追加することができます。

      注記

      [Add my organization] (組織を追加する) を使用してソースアカウントを選択する場合は、認可は必要ありません。

      管理アカウントまたは登録済みの委任された管理者にサインインしていて、組織のすべての機能が有効になっている必要があります。発信者が管理アカウントの場合、AWS Config が EnableAwsServiceAccess API を呼び出して、AWS Config および AWS Organizations 間の統合を有効にします。発信者が登録済みの委任された管理者の場合、AWS Config が ListDelegatedAdministrators API を呼び出して、発信者が有効な委任された管理者であるかどうかを確認します。

      委任された管理者がアグリゲータを作成する前に、管理アカウントに AWS Config サービスプリンシパル名 (config.amazonaws.com) の委任された管理者が登録されていることを確認します。委任された管理者を登録するには、委任された管理者の登録 を参照してください。

      1. [Choose IAM role] (IAM ロールの選択) をクリックして、IAM ロールを作成するか、アカウントから IAM ロールを選択します。

        組織の読み取り専用 API のコールを AWS Config に許可するには、IAM ロールを割り当てる必要があります。

      2. [Create a role] (ロールを作成する) をクリックして IAM ロール名を入力し、IAM ロールを作成します。

        または

        [Choose a role from your account] (アカウントからロールを選択) をクリックして、既存の IAM ロールを選択します。

        注記

        IAM コンソールで、AWSConfigRoleForOrganizations 管理ポリシーを IAM ロールにアタッチします。このポリシーをアタッチすると、AWS Config AWS Organizations、DescribeOrganizationListAWSServiceAccessForOrganization API の呼び出しを ListAccounts に許可します。デフォルトでは、config.amazonaws.com が信頼されたエンティティとして自動的に指定されます。

      3. [Choose IAM role (IAM ロールの作成)] を選択して、選択を確定します。

  6. [Regions (リージョン)] で、データを集約するリージョンを選択します。

    • 1 つのリージョン、複数のリージョン、またはすべての AWS リージョン リージョンを選択します。

    • [Include future AWS リージョン ] (将来の AWS リージョンを含める)をクリックすると、複数アカウントのマルチリージョンのデータ集約が有効になっている将来のすべての AWS リージョン リージョンからデータが集約されます。

  7. [Save (保存)] を選択すると、AWS Config にアグリゲータが表示されます。

アグリゲータの編集

  1. アグリゲータを変更するには、アグリゲータ名を選択します。

  2. [Actions (アクション)] を選択して、[Edit (編集)] を選択します。

  3. [Edit aggregator] (アグリゲータの編集) ページのセクションを使用して、アグリゲータのソースアカウント、IAM ロール、またはリージョンを変更します。

    注記

    個別のアカウントから組織に、またはその逆にソースタイプを変更することはできません。

  4. [Save] を選択します。

アグリゲータの削除

  1. アグリゲータを削除するには、アグリゲータ名を選択します。

  2. [Actions] を選択してから、[Delete ] を選択します。

    警告メッセージが表示されます。アグリゲータを削除すると、すべての集約されたデータが失われます。このデータは復元できませんが、ソースアカウントのデータへの影響はありません。

  3. [Delete (削除)] を選択して、選択を確定します。

詳細はこちら