AWS Config でリソースの変更が検知されないのはなぜですか?
困っていた内容
AWS Config でルールを設定し、リソースに変更を加えましたが、変更が検知されていません。
コンソール上から「再評価」をクリックしましたが、アクセス権限がないというエラーが発生しました。
コンソールで操作している IAM ユーザーには AdministratorAccess 権限を付与しています。
AWS Config でリソースの変更を検知するにはどうすればよいでしょうか?
どう対応すればいいの?
以下の点についてご確認ください。
- AWS Config で使用されている IAM ロール
デフォルト設定では AWSServiceRoleForConfig というサービスにリンクされたロールが使用されますが、カスタムロールを使用する場合は、 Config に関する書き込み権限が付与されているかどうかをご確認ください。 -
AWS Organizations の SCP
管理者アカウントやサービスにリンクされたロールを使用している場合は、SCP の影響を受けませんが、 メンバーアカウントで、AWS Config にカスタムロールを使用している場合、SCP で権限が制限されていないかについてご確認ください。
なお、AWS Config で使用されているロールは、AWS Config のコンソールから「設定」をクリックすることで確認できます。
PutEvaluations アクションが制限されている場合、リソースの変更が検知できなくなります。 StartConfigRulesEvaluation アクションが制限されている場合、コンソール上から「再評価」を実行できなくなります。