はじめに
今回はAWS Configにおいてアカウント間で委任関係を設定することで
1つのアカウント上でAWS Configルールなどを確認できるように設定します。
※AWS Organizaions配下 でない アカウントで実施しています。
注意事項
各設定値に関しては状況によって適切な値をご設定いただくようにお願いいたします。
AWS Configとは
AWSアカウント上に構築されたAWSリソースの設定変更履歴を確認できるAWSのサービスです。
イメージ
複数のアカウント・リージョンのAWS Configの設定などをアグリゲータアカウントに集約して確認することができます。
親子関係の設定方法
アグリゲータを設定することで親子関係を設定できます。
1.ソースアカウントでAWS Configを有効化
2.アグリゲータアカウントでAWS Configを有効化
3.アグリゲータアカウントで個別アカウントアグリゲータを作成
4.ソースアカウントで承認を実施
以下で詳細な手順をご紹介します。
1.ソースアカウントでAWS Configを有効化
1.マネジメントコンソールからAWS Configを開き、
[今すぐ始める]をクリックします。
2.一般設定、配信方法を入力して[次へ]をクリックします。
3.ルールは設定せず、[次へ]をクリックします。
※個人アカウントでコストを抑えるためにルールは設定していません。
4.内容を確認し、[確認]をクリックします。
2.アグリゲータアカウントでAWS Configを有効化
1.と同様にAWS Configを有効化します。
3.個別アカウントアグリゲータを作成
アグリゲータアカウント上でアグリゲータを作成します。
1.[アグリゲータ]をクリックします。
2.[アグリゲータを作成]をクリックします。
3.データレプリケーションの許可、アグリゲータ名、ソースアカウントの選択を入力し、[アグリゲータの作成]をクリックします。
※今回はAWS Organizationsを使用していないため、[個々のアカウントを選択する]を選択しています。
作成したアグリゲータを確認してみるとステータスが"未完了"と表示されています。AWS Organizationsを使用しない場合、ソースアカウントで承認を実施する必要があります。
4.アグリゲータの承認
ソースアカウントでAWS Configを開きます。
- [認証]をクリックします。
2.アカウントIDを確認し、問題なければ[承認]をクリックします。
3."Authorize"と入力し、[承認]をクリックします。
承認のステータスが"承認済"に変わることが確認できます。
確認
アグリゲータアカウント上でアグリゲータを確認すると、ステータスが"OK"と表示されており、
ソースアカウントで設定されているAWS Configのルールなどを閲覧できることを確認できます。
※ステータスが"OK"になるまで2~3分かかるようです。
承認直後、ステータスが"Failed"と表示されていました。
まとめ
今回はAWS Configにおけるアカウント間の委任関係を設定しました。
次回はSecurity Hubの設定したいと思います。