AWS Config および AWS Organizations - AWS Organizations

AWS Config および AWS Organizations

AWS Config のマルチアカウント、マルチリージョンのデータ集約を使用すると、複数のアカウントと AWS リージョン の AWS Config データを 1 つのアカウントに集約できます。マルチアカウント、マルチリージョンのデータ集約は、中央の IT 管理者がエンタープライズの複数の AWS アカウント のコンプライアンスをモニタリングするうえで役立ちます。アグリゲータは、複数のソースアカウントとリージョンから AWS Config データを収集する、AWS Config のリソースタイプです。集約された AWS Config データを表示するリージョンで、アグリゲータを作成します。アグリゲータの作成中、個々のアカウント ID、または組織の追加を選択できます。AWS Config の詳細については、AWS Config デベロッパーガイドを参照してください。

AWS Config API を使用して、組織のすべての AWS アカウント 全体で AWS Config ルールを管理することもできます。詳細については、AWS Config デベロッパーガイド組織のすべてのアカウント全体で AWS Config ルールを有効にするを参照してください。

AWS Config と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織のアカウントに作成されます。このロールにより、AWS Config はサポートされているオペレーションを組織内のアカウントで実行できます。

  • AWSServiceRoleForConfig

このロールは、マルチアカウントアグリゲータを作成して AWS Config を組織内で有効にすると作成されます。ロールの選択または作成と、名前の指定が AWS Config から要求されます。名前は自動生成されません。

このロールを削除または変更できるのは、AWS Config と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

AWS Config との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Config コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Config コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Config で実行可能になります。ここに示す手順は、統合の有効化に AWS Config が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Config コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

AWS Config コンソールを使用して信頼されたアクセスを有効にするには

AWS Config を使用して AWS Organizations への信頼されたアクセスを有効にするには、マルチアカウントアグリゲータを作成し、組織を追加します。マルチアカウントアグリゲータの設定方法については、AWS Config デベロッパーガイドコンソールを使用したアグリゲータのセットアップを参照してください。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、AWS Config の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、AWS Config の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS Config を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal config.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

AWS Config との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Config を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal config.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess