AWS Configがマルチアカウント、マルチリージョンのデータ集約機能をAWS GovCloud (米国) でサポート開始しました。
AWS Configとは
AWS Config は、AWSリソースの設定を評価、監査、審査できるサービスです。Configでは、AWSリソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。 AWS公式サイト
可能になること
- AWS Configのルールコンプライアンスデータを1つのアカウントに集約
- AWS Configのルールコンプライアンスデータを1つのリージョンに集約
Config Ruleの個別のリソースを見るために個々のアカウントにログインしないといけなかったのが解消されます。 リソースインベントリを全体から評価するための時間と費用を削減できます。
仕組み
マルチアカウント・マルチリージョンのデータ集約は以下のステップで行われます
- 対象アカウントおよびリージョン内でのアグリゲータの構成
- AWS Organizationsのマルチアカウントサポートを通じて自動的にソースアカウントを特定
- ソースリージョンまたは全リージョンを指定
- ソースアカウントの権利元からアグリゲータアカウントに対して許可を提供
開始方法
- アカウントのAWS Config,AWS Configルールを有効にする
- アグリゲータでAWSアカウントIDの一覧を作成する(コンプライアンスデータを集約する必要があるアカウントの指定)
各アグリゲータにはAWS Config により現在記録されているリソースの合計数、リソース数上位20件のリソースタイプ、リソース数上位5件のアカウントが表示されます。クリックすることで更にリソースの現在の設定や特定のAWS Config ルールに違反しているリソースなど確認することが可能になります。
データ集約機能が利用できるリージョンのフルリスト:公式サイト