AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
AWS Config を複数の AWS アカウントでセットアップして使用する方法を教えてください。
複数の AWS リージョンと AWS アカウントで AWS Config をセットアップして使用したいです。
簡単な説明
AWS Systems Manager の AWSSupport-SetupConfig ランブックを使用すると、AWS Identity and Access Management (IAM) サービスリンクロール、AWS Config を搭載した設定レコーダー、AWS Config により設定スナップショットと設定履歴ファイルを送信する Amazon Simple Storage Service (Amazon S3) バケットを含む配信チャネルを作成できます。
このランブックでは、データ集約のアクセス許可を作成して、複数の AWS リージョンとアカウントから AWS Config 設定とコンプライアンスデータを収集することもできます。詳細については、「マルチアカウントマルチリージョンのデータ集約」を参照してください。
解決策
前提条件
ランブックを開始する前に、IAM エンティティ (ユーザーまたはロール) に必要なアクセス許可があることを確認してください。詳細については、AWSSupport-SetupConfig の「必要な IAM アクセス許可」を参照してください。
マルチリージョン用セットアップとマルチアカウント用セットアップでは、オートメーションを実行するには AWS-SystemsManager-AutomationExecutionRole ロールが必要です。詳細については、「複数の AWS リージョンとアカウントでオートメーションを実行する」を参照してください。
AWSSupport-SetupConfig ランブックを実行する
- Systems Manager コンソールを開きます。
- ナビゲーションペインで [データベース] を選択します。
- 検索バーに "AWSSupport-SetupConfig" と入力します。
- AWSSupport-SetupConfig ドキュメントを選択し、[オートメーションを実行] を選択します。
- 入力パラメータに、次の情報を入力します。
AutomationAssumeRole: オートメーションにアクションの実行を許可する IAM ロールの ARN を入力します。ロールが指定されていない場合、オートメーションは開始しません。
AggregatorAccountId (オプション):AWS Config データが集約される AWS アカウント ID。この ID をソースアカウントの認証に使用します。
AggregatorAccountRegion (オプション): アグリゲーターの追加先であり、複数のアカウントとリージョンからの AWS Config 設定とコンプライアンスデータを集約するリージョン。このリージョンを、ソースアカウントの認証に使用します。
IncludeGlobalResourcesRegion: 各リージョンにグローバルリソースデータを記録しないようにするために、グローバルリソースデータを記録するリージョンを 1 つ指定します。
Partition: AWS Config 設定とコンプライアンスデータを収集するパーティション。
S3BucketName: AWS Config 配信チャネルの Amazon S3 バケット名。指定した名前に、'-[AWS Account ID]' が付与されます。デフォルト名は "aws-config-delivery-channel" です。 - [実行] を選択します。ランブックは次のステップを実行します。
**CreateServiceLinkedRole:**AWS Config のサービスリンク IAM ロールがまだない場合に、作成します。
CreateRecorder: 設定レコーダーがまだ存在しない場合に、作成します。
CreateBucket: 配信チャネルで使用する Amazon S3 バケットがまだない場合に、作成します。
CreateDeliveryChannel: ランブックのリソースを使用して配信チャネルを作成します。
StartRecorder: 設定レコーダーを起動します。
PutAggregationAuthorization: AggregatorAccountId および AggregatorAccountRegion パラメータを指定した場合は、マルチアカウントおよびマルチリージョンのデータ集約用のアクセス許可が設定されます。 - ランブックが完了したら、Amazon S3 コンソールを開きます。S3 バケットが配信チャネルによって作成されたことを確認します。AWS アカウントまたはリージョンの AWS Config 設定も確認してください。
