Compliance のためのリソースデータ同期の作成 - AWS Systems Manager

Compliance のためのリソースデータ同期の作成

AWS Systems Manager のリソースデータ同期機能を使用して、すべてのマネージドノードからターゲットの Amazon Simple Storage Service (Amazon S3) バケットにコンプライアンスデータを送信できます。同期を作成するときは、複数の AWS アカウント、AWS リージョン およびオンプレミスのハイブリッド環境からのマネージドノードを指定できます。その後、リソースデータの同期により、新しいコンプライアンスデータが収集されると一元化されたデータが自動的に更新されます。ターゲット S3 バケットに保存されたすべてのコンプライアンスデータに対して、Amazon Athena や Amazon QuickSight などのサービスを使用して集計データのクエリや分析ができます。Compliance のためのリソースデータ同期の設定は、1 回限りの操作です。

次の手順に従って、AWS Management Console を使用して Compliance のためのリソースデータ同期の作成を行います。

リソースデータ同期用に Amazon S3 バケットを作成して設定するには (コンソール)

  1. https://console.aws.amazon.com/s3/ で Amazon S3 コンソールを開きます。

  2. 集計されたコンプライアンスデータを保存するバケットを作成します。詳細については、Amazon Simple Storage Service ユーザーガイド「バケットの作成」を参照してください。バケット名とそれを作成した AWS リージョン を書き留めます。

  3. バケットを開き、[Permissions (アクセス許可)] タブ、[Bucket Policy (バケットポリシー)] の順に選択します。

  4. 次のバケットポリシーをコピーし、ポリシーエディタに貼り付けます。DOC-EXAMPLE-BUCKETAccount-ID を、作成した S3 バケット名と有効な AWS アカウント IDに置き換えます。任意で、Bucket-Prefix を Amazon S3 プレフィックス (サブディレクトリ) に置き換えます。プレフィックスを作成しなかった場合は、Bucket-Prefix/ をこのポリシーの ARN から削除します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }

リソースデータの同期を作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Fleet Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Fleet Manager] を選択します。

  3. [アカウント管理]、[リソースデータの同期] の順に選択し、[リソースデータの同期の作成] を選択します。

  4. [Sync name] フィールドに、同期設定の名前を入力します。

  5. [Bucket name] フィールドに、この手順の最初で作成した Amazon S3 バケットの名前を入力します。

  6. (オプション) [Bucket prefix] フィールドに、Amazon S3 バケットのプレフィックス (サブディレクトリ) の名前を入力します。

  7. 作成した Amazon S3 バケットが現在の AWS リージョン にある場合は、[Bucket region (バケットリージョン)] フィールドで [This region (このリージョン)] を選択します。バケットが他の AWS リージョン にある場合は、[Another region(別のリージョン)] を選択して、リージョンの名前を入力します。

    注記

    同期とターゲット Amazon S3 バケットが異なるリージョンにある場合は、データ転送料金が発生する場合があります。詳細については、Amazon S3 の料金 を参照してください。

  8. [Create] を選択します。