問題タブ [aws-config]

現在、複数のアカウントで AWS Config 通知を有効にしようとしています。独自の S3 バケットと SNS トピックを使用して個々のアカウントの監視を有効にしましたが、1 つの集中型バケットとトピックを使用する方が理にかなっています。私はこれを実装しようとしていますが、ほとんど成功していません。s3 バケットとターゲット ARN を作成しましたが、変更を適用しようとすると、配信ポリシーが不十分であるというエラーが表示されます

コードではなく、AWS コンソールを使用してこれを行っていることに注意してください。

AWS config を使い始めたばかりです。リソースとして ec2 インスタンスを使用して AWS 構成をセットアップしましたが、私の地域の AWS ec2 で発生している変更について通知を受け取っています。

a) 最初の質問は、ec2 に関連する特定の vpc のみを記録できるのか、それとも特定の ec2 のみを記録できるのか?

私のアカウント リージョンにはかなりの数の vpc と ec2 があるため、多くの変更通知を受け取っています。

b) レコーダーをオフにしても、AWS が自分のリージョンの ec2 インスタンスで発生したすべての変更を記録しているかどうか。レコーダーを別の設定でオンにすると、通知が表示されます。つまり、リソースを ec2::EIP に変更します。 ?

AWS でポリシーのコンプライアンスを確保する必要があります (セキュリティ グループなど)。AWS 構成サービスとラムダ関数を使用して同じことを行いました。ただし、AWS 構成サービスは地域固有であるため、すべての地域でルールを定義する必要があります。これにより、メンテナンスが面倒になります。これを処理する方法の代替案はありますか?

Python3 と boto3 を使用して、AWS Config の集約された検出されたリソースを取得できません。

Python=3.7 Boto3=1.9.42 AWS SAM を使用して Lambda 関数をローカルでテストしていますが、AWS 内で Lambda を実行すると同じ問題が発生します。

エラーを返します:

ただし、このクライアントを使用して他のリクエストを実行できます。

これは機能します：

AWS Config サービスの前に AWS API Gateway を配置しようとしています。主に、AWS エコシステムに参加させることなく、AWS Config サービス データへのアクセスをより多くの利用者に許可します。私がアクセスしようとしている特定のアクションは、DescribeConfigRuleEvaluationStatusです。ただし、私の問題はこのアクションに限定されません。

以下のように API Gateway 統合ポイントを設定しました。

しかし、テスト中に、応答本文で以下のエラーが発生しています。考えられる理由について何か考えはありますか？

私は今しばらくこれにこだわっています...

aws configure を使用して認証情報/リージョンを設定しましたが、DynamoDB に保存しようとするたびに「設定に認証情報がありません」というエラーが表示されます。私は Javascript を使用しています。領域をハードコーディングしてテストすると、資格情報が見つからないというエラーが表示されます。最後に、すべてをハードコーディングすると、問題なく動作します。問題は資格情報にあるはずではありませんが、何らかの形で資格情報をローカルで見つけることができます。

設定ファイル (Users/myuseraccount/.aws/config):

認証情報ファイル (Users/myuseraccount/.aws/credentials):

以下のテキストの意味を完全には理解していませんが、aws configure list を実行すると発生します (おそらく、これは誰かが問題を理解するのに役立つでしょう)。キーが表示されないようにしましたが、表示されています。

編集：DynamoDBへの接続を追加