すべてのプロダクト
Search

このプロダクト

    Cloud Config:複数アカウントのリソースコンプライアンスの確認

    ドキュメントセンター

    Cloud Config:複数アカウントのリソースコンプライアンスの確認

    最終更新日:Jan 18, 2025

    このトピックでは、リソースディレクトリの管理アカウントを使用して、アカウントグループ内の 2 つのメンバーアカウントのバケットのコンプライアンスを迅速にチェックし、コンプライアンスパッケテンプレート [bestpracticesfoross] を使用して、リソース非準拠イベントを Simple Log Service に配信する方法について説明します。例として、Cloud Config を使用して複数アカウントのリソースコンプライアンスをチェックする方法を理解するのに役立ちます。

    前提条件

    • リソースディレクトリがアクティブ化され、リソースディレクトリに 2 つのメンバーアカウントが作成されています。詳細については、「リソースディレクトリの有効化」および「メンバーの作成」をご参照ください。

    • Object Storage Service (OSS) がアクティブ化され、2 つのメンバーアカウントに対してバケットが作成されています。詳細については、「OSS コンソールを使用して開始する」をご参照ください。

    • Cloud Config がアクティブ化されています。詳細については、「Cloud Config のアクティブ化」をご参照ください。

    • 簡易 Log Service が有効になっています。詳細については、「簡易 Log Service を有効にする」をご参照ください。

      重要

      Simple Log Service を有効にしても課金されません。Cloud Config はリソースデータを Simple Log Service に配信しますが、Simple Log Service のクエリおよび分析機能を使用した場合にのみ課金されます。詳細については、「請求の概要」をご参照ください。

    背景情報

    管理アカウントを使用して、すべてのメンバーアカウントのリソースリスト、リソース構成の変更履歴、およびリソースコンプライアンスステータスを表示し、リソース構成のコンプライアンスを監視できます。メンバーアカウントを使用して、所属するアカウントグループ、および管理アカウントを使用して作成されたルール、コンプライアンスパッケージ、および配信タスクを表示できます。メンバーアカウントは、[現在のアカウント] タブでリソースコンプライアンスをチェックし、配信を構成するためにも使用できます。

    ステップ 1:アカウントグループを作成する

    リソースディレクトリにメンバーアカウントを作成した後、Cloud Config でアカウントグループを作成し、メンバーアカウントをアカウントグループに追加できます。アカウントグループを使用して、アカウントグループ内のすべてのメンバーアカウントのリソースとコンプライアンスを一元管理できます。

    1. Cloud Config コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、[アカウントグループ] をクリックします。

    3. [アグリゲーター] ページで、[アグリゲーターの作成] をクリックします。

    4. [作成] ページで、[アカウントグループ名] と [説明] を設定し、カスタム[アカウントグループタイプ][メンバーの追加] を選択し、 をクリックします。

    5. [リソースディレクトリ] セクションで、新しく作成した 2 つのメンバーアカウントを選択し、[OK] をクリックします。

    6. [送信] をクリックします。

      [アカウントグループ] リストで、作成したアカウントグループを見つけます。アカウントグループの状態が [作成済み] の場合、アカウントグループは作成されています。

    ステップ 2:リソースリストを表示する

    リージョン全体で、アカウントグループ内の 2 つのメンバーアカウントのリソースを表示できます。

    1. 左上隅で、管理するアカウントグループを選択します。

    2. 左側のナビゲーションウィンドウで、[リソース] > [グローバルリソース] を選択します。

    3. [グローバルリソース] ページで、リソース ID を入力するか、フィルター条件を設定して、指定したリソースをクエリします。

    ステップ 3:コンプライアンスパッケージを作成する

    コンプライアンスパッケテンプレート [bestpracticesfoross] のデフォルトルールを使用して、アカウントグループ内のメンバーアカウントのバケットのコンプライアンスを迅速にチェックできます。

    1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [コンプライアンスパッケージ] を選択します。

    2. [コンプライアンスパッケージ] ページで、[パッケージの作成] をクリックします。

    3. [テンプレートを選択 (オプション)] ステップで、コンプライアンスパッケテンプレート [bestpracticesfoross] を見つけ、image.png アイコンをクリックし、[次へ] をクリックします。

    4. [基本プロパティの設定] ステップで、コンプライアンスパッケージの名前を設定し、その他のパラメーターのデフォルト値を保持します。次に、[次へ] をクリックします。

    5. [ルールの選択] ステップで、コンプライアンスパッケテンプレート [bestpracticesfoross] からすべてのルールを選択し、[次へ] をクリックします。

    6. [ルール パラメーターの設定] ステップで、ルールの各種パラメーターを設定し、[OK] をクリックします。

      説明

      ルールのパラメーターを設定する方法の詳細については、「Cloud Config でサポートされている Alibaba Cloud サービスとリソースタイプ」のリソースタイプ列をご参照ください。

    ステップ 4:コンプライアンス評価結果を表示する

    アカウントグループ内のすべてのメンバーアカウントのバケットに対するコンプライアンスパッケージのルールの評価結果を表示し、非準拠の構成を修正できます。

    1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [コンプライアンスパッケージ] を選択します。

    2. [コンプライアンスパッケージ] ページで、ステップ 3 で作成したコンプライアンスパッケージの ID をクリックします。

    3. 表示されるページの右上隅にある [レポートのダウンロード] をクリックします。[コンプライアンス レポートのダウンロード] メッセージで、[OK] をクリックします。

      ZIP パッケージを取得します。ZIP パッケージを解凍すると、メンバーアカウント ID とメンバーアカウント名で名前が付けられた 2 つのコンプライアンスレポート (Excel フォーマット) を取得します。

    4. Excel 形式のコンプライアンスレポートを開きます。[非準拠リソース] タブで、バケット ID またはバケット名ですべての非準拠ルールをフィルタリングし、[修正の提案] 列に基づいて修正を実行します。

    ステップ 5:リソース非準拠イベントを Simple Log Service に配信する

    アカウントグループ内のすべてのメンバーアカウントのリソース非準拠イベントを Simple Log Service の指定されたログストアに配信するように構成し、イベントをクエリおよび分析できます。

    1. [配信] ページで、左上隅にある [配信の作成] をクリックします。

    2. [配信の作成] ページで、[配信名] を設定し、[チャネルタイプ][log Service] を、[コンテンツ][非準拠リソースイベント] を、[ログストアソース][このアカウントに新しいログアイテムを作成する] を選択し、[プロジェクトリージョン] ドロップダウンリストからオプションを選択し、[プロジェクト名][ログストア名] を設定します。[指定されたリソースタイプのイベント] のデフォルト値、つまりすべてのリソースタイプを保持します。

    3. [OK] をクリックします。

    4. [操作の確認] メッセージで、[OK] をクリックします。

      新しく作成された配信タスクは、アカウントグループのすべてのメンバーアカウントに対してのみ有効になります。

      Simple Log Service コンソールでは、Simple Log Service プロジェクトが自動的に作成されます。プロジェクトにはログストアが自動的に作成されます。Cloud Config 内のリソース非準拠イベントは、このログストアに配信されます。

      重要

      Cloud Config はリソースデータを Simple Log Service に配信します。Simple Log Service のクエリおよび分析機能を使用する場合は課金されます。料金が発生しないようにするには、Simple Log Service コンソールで Simple Log Service プロジェクトを削除します。Simple Log Service プロジェクトを削除すると、Cloud Config の配信タスクは無効になり、リソースデータは配信されなくなります。詳細については、「プロジェクトを削除する」をご参照ください。

    5. リソース不適合イベントの配信結果を表示し、クエリを実行して分析します。

      1. [配信] ページで、新しく作成した配信 ID をクリックします。

      2. 表示されるページの [拡張情報] セクションで、ログストアの名前をクリックします。

        Simple Log Service コンソールの宛先ログストアページにリダイレクトされます。

      3. [エラー] メッセージで、[閉じる] をクリックします。

        説明

        Cloud Config コンソールで作成されたログストアでは、デフォルトでインデックス作成機能が有効になっていないため、システムはエラーを報告します。

      4. ログストアのインデックス作成機能を有効にします。

        詳細については、「インデックスを作成する」をご参照ください。

      5. ログストア内のログをクエリおよび分析します。

        詳細については、「ログをクエリおよび分析する」をご参照ください。

        説明

        リソース非準拠イベントの JSON 形式のサンプルファイルの詳細については、「リソース非準拠イベントの例」をご参照ください。