View a markdown version of this page

EC2 ポリシーのアカウントステータスレポートの生成 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 ポリシーのアカウントステータスレポートの生成

アカウントステータスレポートを使用すると、範囲内のアカウントの EC2 ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。

このレポートは、リージョンの内訳と、属性の現在の状態がアカウント間で統一されている (numberOfMatchedAccounts 経由) か、一貫性がない (numberOfUnmatchedAccounts 経由) かを示すため、準備状況を評価するのに役立ちます。また、最も頻繁にみられる値を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。

ベースライン設定を適用するための EC2 ポリシーをアタッチするかどうかは、特定のユースケースによって異なります。

詳細と具体的な例については、「EC2 ポリシーのアカウントステータスレポート」を参照してください。

前提条件

アカウントステータスレポートを生成する前に、次の手順を実行します。

  1. StartDeclarativePoliciesReport オペレーションを呼び出すことができるのは、組織の管理アカウントまたは委任された管理者のみです。

  2. 委任管理者アカウントからレポートを実行するには、そのアカウントを EC2 サービスの委任管理者として登録する必要があります。

  3. レポートを生成する前に、S3 バケットが必要です。新しいバケットを作成するか、既存のバケットを使用します。バケットは、リクエストを行うリージョンと同じリージョンに存在する必要があります。バケットには適切なバケットポリシーが必要です。S3 ポリシーのサンプルについては、「Amazon EC2 API リファレンス」の「」にある「Sample Amazon S3 policy」を参照してください。

  4. Amazon EC2 の信頼されたアクセスを有効にする必要があります。これにより、組織全体のアカウントの既存の設定のアカウントステータスレポートを生成する読み取り専用のサービスにリンクされたロールが作成されます。

    コンソールの使用

    Organizations コンソールの場合、このステップは EC2 ポリシーを有効にするプロセスの一部です。

    の使用 AWS CLI

    には AWS CLI、EnableAWSServiceAccess オペレーションを使用します。

    で特定のサービスの信頼されたアクセスを有効にする方法の詳細については AWS CLI、 AWS のサービス で使用できる AWS Organizationsを参照してください。

  5. 一度に生成できるレポートは、組織ごとに 1 つだけです。別の の進行中にレポートを生成すると、オペレーションはエラーを返します。

コンプライアンスステータスレポートの生成

最小アクセス許可

コンプライアンスステータスレポートを生成するには、次のオペレーションを実行するアクセス許可が必要です。

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

注記

Amazon S3 バケットで SSE-KMS 暗号化を使用している場合は、ポリシーに kms:GenerateDataKey アクセス許可も含める必要があります。

AWS マネジメントコンソール

アカウントステータスレポートを生成するには、次の手順に従います。

アカウントステータスレポートを生成するには
  1. AWS Organizations コンソールにサインインします。組織の管理アカウントの IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ポリシーページで、EC2 ポリシーを選択します。

  3. EC2 ポリシーページで、アクションドロップダウンメニューからアカウントステータスレポートの表示を選択します。

  4. [アカウントステータスレポートを表示] ページで、[ステータスレポートを生成] を選択します。

  5. [組織構造] ウィジェットで、レポートに含める組織単位 (OU) を指定します。

  6. [Submit] を選択してください。

AWS CLI & AWS SDKs

アカウントステータスレポートを生成するには

次の操作を実行してコンプライアンスレポートを生成し、そのステータスを確認し、レポートを表示します。

  • ec2:start-declarative-policies-report: アカウントステータスレポートを生成します。レポートは非同期的に生成され、完了までに数時間かかる場合があります。詳細については、「Amazon EC2 API リファレンス」の「StartDeclarativePoliciesReport」を参照してください。

  • ec2:describe-declarative-policies-report: レポートの状態など、アカウントステータスレポートのメタデータを記述します。詳細については、「Amazon EC2 API リファレンス」の「DescribeDeclarativePoliciesReports」を参照してください。

  • ec2:get-declarative-policies-report-summary: アカウントステータスレポートの概要を取得します。詳細については、「Amazon EC2 API リファレンス」の「GetDeclarativePoliciesReportSummary」を参照してください。

  • ec2:cancel-declarative-policies-report: アカウントステータスレポートの生成をキャンセルします。詳細については、「Amazon EC2 API リファレンス」の「CancelDeclarativePoliciesReport」を参照してください。

レポートを生成する前に、レポートが保存される Amazon S3 バケットへのアクセス権を EC2 ポリシープリンシパルに付与します。付与するためには、以下のポリシーをバケットにアタッチします。amzn-s3-demo-bucket を実際の Amazon S3 バケット名に置き換え、 を StartDeclarativePoliciesReportオペレーションの呼び出しに使用される IAM ID identity_ARN に置き換えます。

次の JSON ポリシーは、レポートをバケットに配信するためのアクセスを許可します。

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }