上記の続きで、アグリゲータを設定したメモ。
参考リンク
方針
ユーザーガイドにはマネジメントコンソールやCLIで設定する方法が載っているが、CloudFormationでも設定できそう。 ConfigはStackSetsで有効化したが、アグリゲータはどこか1つで有効化すればよさそうなので、CloudFormationは使わないことにする。
アグリゲータを作成する際には、個々のアカウントを追加するか、組織のアカウントをまとめて追加することができるが、組織の追加を行う場合は、マスターアカウントにアグリゲータを作成する必要がある。
メモ
Organizationsの機能を使って集約する場合に、集約先が組織のマスターアカウントである必要があるサービスと、任意のアカウントを指定できるものがあるようだ。
任意のアカウントを指定できるもの | マスターアカウントである必要があるサービス |
---|---|
GuardDuty管理アカウント | Configアグリゲータ |
Security HubはOrganizationsと統合されていないので、任意のアカウントをマスターアカウントにすることができる。StackSetsはOrganizationsと統合されていて、組織のマスターアカウントから実行する必要がある。
アグリゲータの設定
マスターアカウントでアグリゲータを設定する。