AWS Config でリソースの変更が検知されないのはなぜですか?

2022.04.08

困っていた内容

AWS Config でルールを設定し、リソースに変更を加えましたが、変更が検知されていません。 コンソール上から「再評価」をクリックしましたが、アクセス権限がないというエラーが発生しました。 コンソールで操作している IAM ユーザーには AdministratorAccess 権限を付与しています。

AWS Config でリソースの変更を検知するにはどうすればよいでしょうか?

どう対応すればいいの?

以下の点についてご確認ください。

  • AWS Config で使用されている IAM ロール
    デフォルト設定では AWSServiceRoleForConfig というサービスにリンクされたロールが使用されますが、カスタムロールを使用する場合は、 Config に関する書き込み権限が付与されているかどうかをご確認ください。

  • AWS Organizations の SCP
    管理者アカウントやサービスにリンクされたロールを使用している場合は、SCP の影響を受けませんが、 メンバーアカウントで、AWS Config にカスタムロールを使用している場合、SCP で権限が制限されていないかについてご確認ください。

なお、AWS Config で使用されているロールは、AWS Config のコンソールから「設定」をクリックすることで確認できます。

アクションの制限例

  • PutEvaluations アクションが制限されている場合
    リソースの変更が検知できなくなります。

  • StartConfigRulesEvaluation アクションが制限されている場合
    コンソール上から「再評価」を実行できなくなります。

参考資料