翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 宣言型ポリシーのアカウントステータスレポートを生成する
<a name="orgs_manage_policies_declarative_status-report"></a>

*アカウントステータスレポート*では、対象アカウントの宣言型ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。

このレポートは、リージョンの内訳と、属性の現在の状態が*アカウント間で統一*されている (`numberOfMatchedAccounts` 経由) か、*一貫性がない* (`numberOfUnmatchedAccounts` 経由) かを示すため、準備状況を評価するのに役立ちます。また、*最も頻繁にみられる値*を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。

ベースライン設定の適用のために宣言型ポリシーをアタッチするかどうかの選択は、ユースケースに応じて異なります。

詳細と具体的な例については、「[宣言型ポリシーのアカウントステータスレポート](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)」を参照してください。

## 前提条件
<a name="orgs_manage_policies_declarative_accessing-status-report-prerequisites"></a>

アカウントステータスレポートを生成する前に、次のステップを実行する必要があります。

1. 組織の管理アカウントまたは委任された管理者のみが `StartDeclarativePoliciesReport` API を呼び出すことができます。

1. レポートを生成する前に S3 バケットが必要です (新しいバケットを作成するか既存のバケットを使用)。S3 バケットは、リクエストが行われるリージョンと同じリージョンにあり、適切な S3 バケットポリシーを持っている必要があります。S3 ポリシーのサンプルについては、「*Amazon EC2 API リファレンス*」の「[例](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples)」にある「*Sample Amazon S3 policy*」を参照してください。

1. 宣言型ポリシーがベースライン設定を適用するサービスに対して、信頼アクセスを有効にする必要があります。これにより、読み取り専用のサービスにリンクされたロールが作成されます。このロールを使用して、組織全体のアカウントの既存設定に関するアカウントステータスレポートを生成することができます。

   **コンソールの使用**

   Organizations コンソールの場合、このステップは宣言型ポリシーを有効にするプロセスの一部です。

   **の使用 AWS CLI**

   には AWS CLI、[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API を使用します。

   で特定のサービスの信頼されたアクセスを有効にする方法の詳細については、[AWS のサービスAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) AWS CLI 「」を参照してください。

1. 一度に生成できるレポートは、組織ごとに 1 つだけです。別のレポートの進行中にレポートを生成しようとすると、エラーが発生します。

## コンプライアンスステータスレポートにアクセスする
<a name="orgs_manage_policies_declarative_accessing-status-report"></a>

**最小アクセス許可**  
コンプライアンスステータスレポートを生成するには、次のアクションを実行可能なアクセス許可が必要です。  
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`

**注記**  
Amazon S3 バケットで SSE-KMS 暗号化を使用している場合は、ポリシーに `kms:GenerateDataKey` アクセス許可も含める必要があります。

------
#### [ AWS マネジメントコンソール ]

アカウントステータスレポートを生成するには、次の手順に従います。

**アカウントステータスレポートを生成するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[ポリシー]** ページで、**[EC2 の宣言型ポリシー]** を選択します。

1. **[EC2 の宣言型ポリシー]** ページで、**[アクション]** ドロップダウンメニューから **[アカウントステータスレポートを表示]** を選択します。

1. **[アカウントステータスレポートを表示]** ページで、**[ステータスレポートを生成]** を選択します。

1. **[組織構造]** ウィジェットで、レポートに含める組織単位 (OU) を指定します。

1. [**Submit**] を選択してください。

------
#### [ AWS CLI & AWS SDKs ]

**アカウントステータスレポートを生成するには**

次の操作を実行してコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示します。
+ `ec2:start-declarative-policies-report`: アカウントステータスレポートを生成します。レポートは非同期的に生成され、完了までに数時間かかる場合があります。詳細については、「*Amazon EC2 API リファレンス*」の「[StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)」を参照してください。
+ `ec2:describe-declarative-policies-report`: レポートの状態など、アカウントステータスレポートのメタデータを記述します。詳細については、「*Amazon EC2 API リファレンス*」の「[DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)」を参照してください。
+ `ec2:get-declarative-policies-report-summary`: アカウントステータスレポートの概要を取得します。詳細については、「*Amazon EC2 API リファレンス*」の「[GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)」を参照してください。
+ `ec2:cancel-declarative-policies-report`: アカウントステータスレポートの生成をキャンセルします。詳細については、「*Amazon EC2 API リファレンス*」の「[CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)」を参照してください。

レポートを生成する前に、レポートが保存される Amazon S3 バケットへのアクセス権を EC2 宣言型ポリシープリンシパルに付与してください。付与するためには、以下のポリシーをバケットにアタッチします。`amzn-s3-demo-bucket` を実際の Amazon S3 バケット名に置き換え、`identity_ARN` を `StartDeclarativePoliciesReport` API の呼び出しに使用される IAM ID に置き換えます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
```

------

------