Amazon Web Services ブログ
AWS 構成ルールの更新: アカウントおよびリージョンにまたがる集約コンプライアンスデータ
既に述べたことがありますが、高度な AWS 顧客は複数の AWS アカウントを制御していることが常です。これらのうちのいくつかは、買収、またはボトムアップからの持ち越し、クラウドコンピューティングの部門採用の結果です。また人によっては、開発者、プロジェクト、部門で区別するために、複数のアカウントを作成することがあります。私たちは、これをアカウントのポリシーベース管理のためにベストプラクティスとして採用し、多くの AWS サービス、ならびに AWS Organizations のクロスアカウント機能で補強することを強く支持します。また、これらの顧客は AWS Config を十分に活用しており、Config Rules (自分で作成したもの、および Config から提供されたもの) を使用して AWS リソースのコンプライアンスをチェックします。
アカウントおよびリージョンにまたがる集約
現在私たちは、複数の AWS アカウントおよびリージョンにまたがるルールによって生成されたコンプライアンスデータを集約する機能を追加することによって、さらに役立つ Config Rules を作成することを可能にしました。集約データは、単一のダッシュボードに表示することができるので、ガバナンスとコンプライアンスを改善するための優れた手段になります。さらに良いことに、集約機能とダッシュボードは、AWS Config ユーザーであれば無料で利用することができます。
これのセットアップ方法を簡単に説明します。最初に、いくつかの用語を定義しておきます。
aggregator – これは新規の Config リソースです。これは集約対象となるコンプライアンスデータのソース (アカウントおよびリージョン) を特定します。複数の aggregator を同時に使用できるので、ガバナンスおよびコンプライアンスモデルをさらに細かくチューニングすることができます。
aggregator アカウント – これは 1つ以上の aggregator を所有する AWS アカウントです。
ソースアカウント – これは集約対象のコンプライアンスデータを持つ AWS アカウントです。
集約ビュー – aggregator のコンプライアントルールおよび非コンプライアントルールを表示するダッシュボードです。
このすべての構成を以下に示します。
集約機能のセットアップ
特定の AWS Config データのための集約機能をセットアップします。最初のステップは、aggregator アカウントのセットアップです。Config コンソールを開き、[Aggregated View (集約ビュー)] セクションを見つけて、[Aggregators] をクリックします。
Aggregators のリストを眺めた後、[Add aggregator (aggregator の追加)] をクリックして、新しい aggregator を作成します。
ソースアカウントからデータをレプリケートするために AWS Config 権限を与えて、aggregator に名前 (MyAgg) を付けます。
次に、ソースアカウントを選択します。ここで 3 つのオプションがあります。すなわち、アカウント ID を手動で追加すること、カンマ区切りのリストを含んでいるファイルをアップロードすること、あるいは AWS Organization にすべてのアカウントを追加することです。
アカウントを 1 つ手動で追加するために [Add source accounts (ソースアカウントの追加)] をクリックして、ID を入力し、[Add source accounts (ソースアカウントの追加)] をクリックします。
次に、現在のリージョンを選択するオプションを使って対象のリージョンを選択し、[Save (保存)] をクリックして、先に進みます。
次のステップは、Config コンソールでのソースアカウントの操作です。承認リクエストが表示されます。
それを確認します。
CloudFormation StackSets を使用することによって、すべてのソースアカウントの承認をプログラムで行うことができます。ただし、この承認ステップは AWS Organization 内のすべてのアカウントの集約を選択した場合、不要です。
ソースアカウントからのコンプライアンスデータが aggregator アカウントへの移動を開始し、通常、2~5 分後にコンソール内に表示されます。
ここに見えているように、多数のフィルタリングオプションがあります。特定のリージョンまたはアカウントにフォーカスして、最も対処が必要なルールまたはアカウントを表示することができます。たとえば、サーバー側の暗号化機能が有効になっていない、すべてのバケットを表示することができます。
また、コンプライアントリソースと非コンプライアントリソースを表示することにより、特定のアカウントのコンプライアンス状況を確認することができます。
主要事項
この新機能は現在、米国東部 (バージニア州北部)、米国東部 (オハイオ州)、米国西部 (オレゴン州)、米国西部 (カリフォルニア州北部)、EU (アイルランド)、EU (フランクフルト)、アジア太平洋地域 (東京)、アジア太平洋地域 (シドニー)、およびアジア太平洋地域 (シンガポール) リージョンで無料で利用可能であり、今すぐ使い始めることができます。Config および Config Rules は、通常通り、有料です。
AWS Config のマルチアカウント、マルチリージョンデータ集約機能を使用すると、中央のアカウントから、あなたのアカウントのコンプライアンスステータスを見ることができます。ただし、あなたがアカウント全体にわたって Config および Config Rules を有効にしていることが前提です (複数のアカウントに Config Rules を配布してデプロイするために、CloudFormation StackSets を使用することができます)。
— Jeff;