AWS Config から始めて AWS CLI - AWS Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config から始めて AWS CLI

注記

AWS Config を使用してセットアップする前に AWS CLI、S3 バケット、SNS トピック、および前提条件としてポリシーをアタッチした IAM ロールを作成する必要があります。その後、を使用してのバケット、 AWS CLI トピック、およびロールを指定できます。 AWS Configの前提条件を設定するには AWS Config、「前提条件」を参照してください。

を開始するには AWS Config 、次のように AWS CLI、put-delivery-channelput-configuration-recorderおよびコマンドを使用します。start-configuration-recorder

  • put-configuration-recorder コマンドを使用すると、指定したリソース設定を記録する新しい設定レコーダーを作成できます。

  • put-delivery-channel コマンドは、S3 バケットおよび SNS トピックに設定情報を配信する配信チャネルオブジェクトを作成します。

  • 配信チャネルが作成されると、start-configuration-recorder は選択されたリソース設定の記録を開始します。これは、お客様の  AWS  アカウントで参照できます。

注記

アカウントの各  AWS  リージョンでは、1 つの設定レコーダーと 1 つの配信チャネルのみが使用できます。

レコーダーの名前と、 AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN) を指定できます。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。設定レコーダーの名前は、作成後に変更することはできません。設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、新しい名前で設定レコーダーを作成し直す必要があります。

AWS Config を使用してマルチアカウントマルチリージョンのデータ集約をセットアップするには AWS CLI、「コマンドラインインターフェイスを使用したアグリゲーターのセットアップ」を参照してください。 AWS AWS 設定項目を記録するアカウントごとに、リージョンごとに個別の設定レコーダーを作成する必要があります。

put-configuration-recorder

put-configuration-recorder コマンドは、以下の例のようになります。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

--configuration-recorder---recording-groupこのコマンドはとフィールドを使用します。

注記

レコーディンググループと設定レコーダー

--recording-group フィールドは、記録するリソースタイプを指定します。

--configuration-recorderこのフィールドではname、設定レコーダー (recordingMode) roleArn のデフォルトの記録頻度だけでなく、およびも指定します。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。

put-configuration-recorder は、--recording-group パラメータに次のオプションを使用します。

  • allSupported=true— グローバル IAM リソースタイプを除く、 AWS Config サポートされているすべてのリソースタイプの設定変更を記録します。 AWS Config 新しいリソースタイプへのサポートを追加すると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。

  • includeGlobalResourceTypes=true - このオプションは、グローバル IAM リソースタイプ (IAM ユーザー、グループ、ロール、および カスタマー管理ポリシー) にのみ適用されるバンドルです。これらのグローバル IAM リソースタイプは、2022 AWS Config 年 2 AWS Config 月以前に利用可能だったリージョンでのみ記録できます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。

    • アジアパシフィック (ハイデラバード)

    • アジアパシフィック (メルボルン)

    • カナダ西部 (カルガリー)

    • 欧州 (スペイン)

    • 欧州 (チューリッヒ)

    • イスラエル (テルアビブ)

    • 中東 (アラブ首長国連邦)

    重要

    Aurora グローバルクラスターは有効なすべてのリージョンで記録されます

    AWS::RDS::GlobalClusterリソースタイプは、に設定されている場合でも、 AWS Config includeGlobalResourceTypes設定レコーダーが有効になっているすべてのサポート対象リージョンに記録されます。falseincludeGlobalResourceTypes オプションは、IAM ユーザー、グループ、ロール、および カスタマー管理ポリシーにのみ適用されるバンドルです。

    有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合は、以下のいずれかの記録方法を使用します。

    1. [除外を伴う、現在および将来のすべてのリソースタイプを記録する] (EXCLUSION_BY_RESOURCE_TYPES)、または

    2. [特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES)。

    詳細については、「記録対象のリソースの選択」を参照してください。

    重要

    includeGlobalResourceタイプと除外記録戦略

    includeGlobalResourceTypesEXCLUSION_BY_RESOURCE_TYPESこのフィールドはレコーディング戦略には影響しません。つまり、グローバルな IAM リソースタイプ (IAM ユーザー、グループ、ロール、カスタマー管理ポリシー) includeGlobalResourceTypes は、exclusionByResourceTypesがに設定されている場合の除外項目として自動的に追加されないということです。false

    includeGlobalResourceTypesフィールドのデフォルトではグローバル IAM リソースタイプを除くすべてのサポート対象リソースタイプの設定変更が記録されるため、AllSupportedこのフィールドはフィールドを変更する場合にのみ使用してください。AllSupportedAllSupportedがに設定されているときにグローバル IAM リソースタイプを含めるにはtrueincludeGlobalResourceTypes必ずに設定してください。true

    グローバル IAM EXCLUSION_BY_RESOURCE_TYPES リソースタイプを記録ストラテジーから除外するには、resourceTypesそれらのリソースタイプをのフィールドに手動で追加する必要があります。exclusionByResourceTypes

    注記

    必須フィールドとオプションフィールド

    includeGlobalResourceTypestrue に設定する前に、allSupported フィールドを true に設定します。

    オプションで、RecordingStrategyuseOnly フィールドを ALL_SUPPORTED_RESOURCE_TYPES に設定することもできます。

    注記

    フィールドを無効にする

    のフィールドでグローバル IAM includeGlobalResourceTypes false AWS Config リソースタイプだけを設定してもRecordingGroupresourceTypesフィールドを false に設定したかどうかにかかわらず、指定されたリソースタイプの設定変更が記録されます。includeGlobalResourceTypes

    グローバル IAM リソースタイプ (IAM ユーザー、ロール、カスタマー管理ポリシー) の設定変更を記録しない場合は、resourceTypes フィールドを false に設定するだけでなく、それらを includeGlobalResourceTypes フィールドに入れないようにしてください。

  • recordingStrategy — 設定レコーダーの記録方法を指定します。recordingGroup.json ファイルは、 AWS Config で記録するリソースのタイプを指定します。

    • useOnlyフィールドをに設定するとALL_SUPPORTED_RESOURCE_TYPES、グローバル IAM リソースタイプを除く、 AWS Config サポートされているすべてのリソースタイプの設定変更が記録されます。RecordingStrategyオプションで、allSupportedのフィールドをに設定できますRecordingGrouptrue AWS Config 新しいリソースタイプへのサポートを追加すると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。

    • useOnlyフィールドをに設定するとINCLUSION_BY_RESOURCE_TYPESRecordingStrategy AWS ConfigRecordingGroupのフィールドで指定したリソースタイプの設定変更のみが記録されます。resourceTypes

    • useOnlyRecordingStrategyフィールドをに設定するとEXCLUSION_BY_RESOURCE_TYPES、 AWS Config のフィールドに記録されないように指定したリソースタイプを除く、resourceTypesサポートされているすべてのリソースタイプの設定変更が記録されますExclusionByResourceTypes

    注記

    必須フィールドとオプションフィールド

    --recording-group の [allSupported] フィールドを true に設定した場合、この [recordingStrategy] フィールドはオプションです。

    --recording-group の [resourceTypes] フィールドにリソースタイプを含める場合、[recordingStrategy] フィールドはオプションです。

    exclusionByResourceTypes の [resourceTypes] フィールドに記録から除外するリソースタイプを含める場合、[recordingStrategy] フィールドは必須です。

    注記

    フィールドを無効にする

    記録方法に EXCLUSION_BY_RESOURCE_TYPES を選択した場合、[exclusionByResourceTypes] フィールドはリクエスト内の他のプロパティよりも優先されます。

    例えば、includeGlobalResourceTypes を false に設定した場合でも、グローバル IAM リソースタイプが exclusionByResourceTypesresourceTypes フィールドに例外として明記されていない限り、グローバルリソースタイプはこのオプションに自動的に記録されます。

    注記

    グローバルリソースタイプおよびリソースの除外の記録方法

    デフォルトでは、EXCLUSION_BY_RESOURCE_TYPES記録方法を選択した場合、 AWS Config 設定レコーダーを設定したリージョンにグローバルリソースタイプを含む新しいリソースタイプへのサポートが追加されると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。

    除外として特に記載されていない限り、AWS::RDS::GlobalCluster設定レコーダーが有効になっていれば、 AWS Config サポートされているすべてのリージョンで自動的に記録されます。

    IAM ユーザー、グループ、ロール、顧客管理ポリシーは、設定レコーダーを設定したリージョンが 2022 年 2 AWS Config 月以前に利用可能だったリージョンの場合、そのリージョンに記録されます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。

    • アジアパシフィック (ハイデラバード)

    • アジアパシフィック (メルボルン)

    • カナダ西部 (カルガリー)

    • 欧州 (スペイン)

    • 欧州 (チューリッヒ)

    • イスラエル (テルアビブ)

    • 中東 (アラブ首長国連邦)

    次に recordingGroup.json に対するリクエストの構文例を示します。

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    注記

    既存のロール AWS Config

    AWS AWS Security Hub AWS Control Towerやなどを使用するサービスを使用していて AWS Config、 AWS Config ロールが既に作成されている場合は、セットアップ時に使用する IAM ロールが、 AWS Config 作成済みのロールと同じ最小権限を保持していることを確認してください。 AWS Config これを行って、 AWS 他のサービスが期待どおりに動作し続けるようにする必要があります。

    たとえば、Amazon Simple Storage Service (Amazon S3) AWS Config オブジェクトの読み取りを許可する IAM ロールがある場合は AWS Control Tower 、セットアップ時に使用する IAM ロール内で同じ権限が付与されていることを確認してください。 AWS Configそうしないと、運用方法に支障をきたす可能性があります。 AWS Control Tower の IAM ロールの詳細については AWS Config、「の Identity and Access Management」を参照してください。 AWS Config

    注記

    多数の評価 AWS Config

    AWS Configでの最初の月の記録では、その後の月に比べてアカウントのアクティビティが増加していることに気付くかもしれません。最初のブートストラッププロセスでは、 AWS Config 記録対象として選択したアカウントのすべてのリソースに対して評価を実行します。 AWS Config

    一時的なワークロードを実行している場合、 AWS Config 一時的なリソースの作成や削除に伴う設定変更を記録するため、アクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、 AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

    注記

    利用可能なリージョン

    追跡するリソースタイプを指定する前に、「利用可能地域別のリソース範囲」をチェックして、設定するリージョンでそのリソースタイプがサポートされているかどうかを確認してください。 AWS Config AWS AWS Config 1 AWS Config つ以上のリージョンでリソースタイプがサポートされている場合は、指定したリソースタイプが設定先のリージョンでサポートされていなくても AWS Config、 AWS がサポートしているすべてのリージョンでそのリソースタイプを記録できます AWS Config。

put-configuration-recorder コマンドは、--configuration-recorder パラメータで次のフィールドを使用します。

  • name— 設定レコーダーの名前。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。

  • roleARN— AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN)。

  • recordingMode— AWS Config 設定変更を記録するために使用するデフォルトの記録頻度を指定します。 AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。

    • recordingFrequency— AWS Config 設定変更の記録に使用されるデフォルトの記録頻度。

      注記

      AWS Firewall Manager リソースを監視するには、継続的な記録が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    • recordingModeOverrides – このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride オブジェクトの配列です。recordingModeOverrides 配列の各 recordingModeOverride オブジェクトは、次の 3 つのフィールドで構成されます。

      • description - オーバーライドに入力した説明。

      • recordingFrequency - オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。

      • resourceTypes— AWS Config オーバーライドに含まれるリソースタイプを指定するカンマで区切られたリスト。

注記

必須フィールドとオプションフィールド

put-configuration-recorderrecordingMode フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。

注記

制限

次のリソースタイプに日次記録はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。

configurationRecorder.jsonこのファイルには、設定レコーダー () roleArn recordingMode のデフォルトの記録頻度だけでなく、nameも指定されています。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-delivery-channel

配信チャネルを設定するには、put-delivery-channel コマンドを使用します。

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json ファイルには、配信チャネルの属性を指定します。

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

この例では以下の属性を設定します。

  • name - 配信チャネルの名前です。デフォルトでは、 AWS Config default新しい配信チャネルに名前が割り当てられます。

    put-delivery-channel コマンドで配信チャネル名を更新することはできません。名前を変更する手順については、[配信チャネルの名前変更] を参照してください。

  • s3BucketName— AWS Config 設定スナップショットと設定履歴ファイルを配信する S3 バケットの名前。

    AWS 別のアカウントに属するバケットを指定する場合、 AWS Configそのバケットにはアクセス権限を付与するポリシーが必要です。詳細については、「AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可」を参照してください。

  • snsTopicARN— AWS Config 設定変更に関する通知を送信する Amazon SNS トピックのアマゾンリソースネーム (ARN)。

    別のアカウントからトピックを選択する場合、そのトピックにはアクセス権限を付与するポリシーが必要です。 AWS Config詳細については、「Amazon SNS トピックへのアクセス許可」を参照してください。

  • configSnapshotDeliveryPropertiesdeliveryFrequency AWS Config 設定スナップショットを配信する頻度を設定する属性が含まれます。

start-configuration-recorder

有効化を終了するには AWS Config、start-configuration-recorderコマンドを使用します。

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName