AWS Config でリソースの変更が検知されないのはなぜですか?

AWS Config でリソースの変更が検知されないのはなぜですか?

Clock Icon2022.04.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Here is the English version

困っていた内容

AWS Config でルールを設定し、リソースに変更を加えましたが、変更が検知されていません。
コンソール上から「再評価」をクリックしましたが、アクセス権限がないというエラーが発生しました。
コンソールで操作している IAM ユーザーには AdministratorAccess 権限を付与しています。

AWS Config でリソースの変更を検知するにはどうすればよいでしょうか?

どう対応すればいいの?

以下の点についてご確認ください。

  • AWS Config で使用されている IAM ロール
    デフォルト設定では AWSServiceRoleForConfig というサービスにリンクされたロールが使用されますが、カスタムロールを使用する場合は、 Config に関する書き込み権限が付与されているかどうかをご確認ください。

  • AWS Organizations の SCP
    管理者アカウントやサービスにリンクされたロールを使用している場合は、SCP の影響を受けませんが、 メンバーアカウントで、AWS Config にカスタムロールを使用している場合、SCP で権限が制限されていないかについてご確認ください。

なお、AWS Config で使用されているロールは、AWS Config のコンソールから「設定」をクリックすることで確認できます。

PutEvaluations アクションが制限されている場合、リソースの変更が検知できなくなります。 StartConfigRulesEvaluation アクションが制限されている場合、コンソール上から「再評価」を実行できなくなります。

参考資料

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.