ある企業が AWS Organizations で管理する複数のアカウントで、AWS Config を使ってリソースのコンプライアンスを管理しています。現在、各アカウントで個別に Config ルールが設定されており、ルールの統一性がなく管理が煩雑です。今後は中央アカウントから組織全体に統一した Config ルールを展開・管理し、全アカウントのコンプライアンス状態を一元的に確認できる体制にしたいと考えています。最も適切な設定はどれですか?
- A. AWS Config の委任管理者(Delegated Administrator)をセキュリティアカウントに設定し、AWS Organizations の Config ルール(組織の Config ルール)を管理アカウントまたは委任管理者から全メンバーアカウントに一元展開する。AWS Config Aggregator を使用して全アカウントのコンプライアンス状態を委任管理者アカウントに集約する
- B. AWS CloudFormation StackSets で Config ルールの CloudFormation テンプレートを全アカウントに展開し、各アカウントで独立して管理する
- C. 各アカウントの Config コンソールにアクセスして手動でルールを確認し、週次でコンプライアンスレポートを作成する
- D. AWS Security Hub を有効化して Config の代わりに中央集約されたセキュリティチェックを実施する
解答と解説を見る
正解: A
AWS Config の Organizations 統合では、管理アカウントまたは委任管理者から「組織の Config ルール」を作成し、Organizations 内の全メンバーアカウントに自動展開できます。新しいアカウントが Organizations に追加されると、自動的にルールが適用されます。Config Aggregator を委任管理者アカウントに設定することで、全アカウントのリソース設定とコンプライアンス状態を一元的に確認できます。 B: StackSets を使った個別展開も有効ですが、Config Organizations ルールよりも手順が多く、新規アカウントへの自動適用も追加設定が必要です。 C: 手動確認は大規模な組織では非現実的で、自動化の要件を満たしません。 D: Security Hub は Config と統合して有用ですが、Config ルールの一元展開・管理の機能は Config Organizations ルールが提供します。Security Hub は Config の代替ではありません。
📚 関連サービスの解説: AWS Config ・ AWS Organizations