翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 ポリシーのアカウントステータスレポートの生成
アカウントステータスレポートを使用すると、範囲内のアカウントの EC2 ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。
このレポートは、リージョンの内訳と、属性の現在の状態がアカウント間で統一されている (numberOfMatchedAccounts 経由) か、一貫性がない (numberOfUnmatchedAccounts 経由) かを示すため、準備状況を評価するのに役立ちます。また、最も頻繁にみられる値を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。
ベースライン設定を適用するための EC2 ポリシーをアタッチするかどうかは、特定のユースケースによって異なります。
詳細と具体的な例については、「EC2 ポリシーのアカウントステータスレポート」を参照してください。
前提条件
アカウントステータスレポートを生成する前に、次の手順を実行します。
-
StartDeclarativePoliciesReportオペレーションを呼び出すことができるのは、組織の管理アカウントまたは委任された管理者のみです。 -
委任管理者アカウントからレポートを実行するには、そのアカウントを EC2 サービスの委任管理者として登録する必要があります。
-
レポートを生成する前に、S3 バケットが必要です。新しいバケットを作成するか、既存のバケットを使用します。バケットは、リクエストを行うリージョンと同じリージョンに存在する必要があります。バケットには適切なバケットポリシーが必要です。S3 ポリシーのサンプルについては、「Amazon EC2 API リファレンス」の「例」にある「Sample Amazon S3 policy」を参照してください。
-
Amazon EC2 の信頼されたアクセスを有効にする必要があります。これにより、組織全体のアカウントの既存の設定のアカウントステータスレポートを生成する読み取り専用のサービスにリンクされたロールが作成されます。
コンソールの使用
Organizations コンソールの場合、このステップは EC2 ポリシーを有効にするプロセスの一部です。
の使用 AWS CLI
には AWS CLI、EnableAWSServiceAccess オペレーションを使用します。
で特定のサービスの信頼されたアクセスを有効にする方法の詳細については AWS CLI、 AWS のサービス で使用できる AWS Organizationsを参照してください。
-
一度に生成できるレポートは、組織ごとに 1 つだけです。別の の進行中にレポートを生成すると、オペレーションはエラーを返します。
コンプライアンスステータスレポートの生成
最小アクセス許可
コンプライアンスステータスレポートを生成するには、次のオペレーションを実行するアクセス許可が必要です。
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
注記
Amazon S3 バケットで SSE-KMS 暗号化を使用している場合は、ポリシーに kms:GenerateDataKey アクセス許可も含める必要があります。