翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アグリゲータアカウントが AWS Config 設定およびコンプライアンスデータを収集することを許可する
<a name="aggregated-add-authorization"></a>

*認可*とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。 AWS Config コンソールまたは を使用して、アグリゲータアカウント AWS CLI を承認できます。

**Topics**
+ [考慮事項](#aggregated-add-authorization-considerations)
+ [認証の追加](#aggregated-add-authorization-procedure)

## 考慮事項
<a name="aggregated-add-authorization-considerations"></a>

**アグリゲータには、個別アカウントアグリゲータと組織アグリゲータの 2 種類があります**

個人アカウントアグリゲータの場合、外部アカウントとリージョン、組織のメンバーアカウントとリージョンの両方を含め、希望するすべてのソースアカウントとリージョンの承認が必要です。

組織アグリゲータの場合、認可は AWS Organizations サービスと統合されているため、組織メンバーアカウントリージョンに認可は必要ありません。

**アグリゲータは AWS Config ユーザーに代わって を自動的に有効にしません**

AWS Config ソースアカウントとリージョンで AWS Config データを生成するには、いずれかのタイプのアグリゲータでソースアカウントとリージョンで を有効にする必要があります。

## 認証の追加
<a name="aggregated-add-authorization-procedure"></a>

------
#### [ Adding Authorization (Console) ]

アグリゲータアカウントとリージョンに、 AWS Config 設定とコンプライアンスデータを収集するアクセス許可を付与する認可を追加できます。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。

1. **[認証]** ページに移動し、**[承認の追加]** を選択します。

1. **[アグリゲータアカウント]** に、アグリゲータアカウントの 12 桁のアカウント ID を入力します。

1. **[アグリゲータのリージョン]** で、アグリゲータアカウントが AWS Config 設定とコンプライアンスデータの収集を許可される AWS リージョン を選択します。

1. **[承認の追加]** を選択して、選択を確定します。

   AWS Config は、アグリゲータアカウント、リージョン、認可ステータスを表示します。
**注記**  
 CloudFormation サンプルテンプレートを使用して、プログラムでアグリゲータアカウントとリージョンに認可を追加することもできます。詳細については、「*CloudFormation ユーザーガイド*」の「[AWS::Config::AggregationAuthorization](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-aggregationauthorization.html)」を参照してください。

------
#### [ Authorizing a Pending Request (Console) ]

既存のアグリゲータアカウントからの保留中の承認リクエストがある場合、**[認証]** ページにリクエストのステータスが表示されます。このページから、保留中のリクエストを承認することができます。

1. 承認するアグリゲータアカウントを選択し、**[承認]** を選択します。

   このアカウントから AWS Config データを収集するアクセス許可をアグリゲータアカウントに付与することを確認する確認メッセージが表示されます。

1. 再度 **[承認]** を選択し、アグリゲータアカウントへのアクセス権限の付与を確認します。

   認証のステータスが、**[認証のリクエスト] ** から **[承認済]** に変わります。

**アクセス権限の承認期間**

ソースアカウントを個人アカウントアグリゲータに追加するには、アクセス権限の承認が必要です。承認待ちのリクエストは、個人アカウントアグリゲータによるソースアカウントの追加後 7 日間有効です。

------
#### [ Adding Authorization (AWS CLI) ]

1. コマンドプロンプトまたはターミナルウィンドウを開きます。

1. 次のコマンドを入力します。

   ```
   aws configservice put-aggregation-authorization --authorized-account-id  {{AccountID}} --authorized-aws-region {{Region}}
   ```

1. 次のような出力が表示されます:

   ```
   {
       "AggregationAuthorization": {
           "AuthorizedAccountId": "{{AccountID}}",
           "AggregationAuthorizationArn": "arn:aws:config:{{Region}}:{{AccountID}}:aggregation-authorization/{{AccountID}}/{{Region}}",
           "CreationTime": 1518116709.993,
           "AuthorizedAwsRegion": "{{Region}}"
       }
   }
   ```

------