翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config から始めて AWS CLI
注記
AWS Config を使用してセットアップする前に AWS CLI、S3 バケット、SNS トピック、および前提条件としてポリシーをアタッチした IAM ロールを作成する必要があります。その後、を使用してのバケット、 AWS CLI トピック、およびロールを指定できます。 AWS Configの前提条件を設定するには AWS Config、「前提条件」を参照してください。
を開始するには AWS Config 、次のように AWS CLI、put-delivery-channel、put-configuration-recorderおよびコマンドを使用します。start-configuration-recorder
put-configuration-recorder
コマンドを使用すると、指定したリソース設定を記録する新しい設定レコーダーを作成できます。put-delivery-channel
コマンドは、S3 バケットおよび SNS トピックに設定情報を配信する配信チャネルオブジェクトを作成します。配信チャネルが作成されると、
start-configuration-recorder
は選択されたリソース設定の記録を開始します。これは、お客様の AWS アカウントで参照できます。
注記
アカウントの各 AWS リージョンでは、1 つの設定レコーダーと 1 つの配信チャネルのみが使用できます。
レコーダーの名前と、 AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN) を指定できます。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。設定レコーダーの名前は、作成後に変更することはできません。設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、新しい名前で設定レコーダーを作成し直す必要があります。
AWS Config を使用してマルチアカウントマルチリージョンのデータ集約をセットアップするには AWS CLI、「コマンドラインインターフェイスを使用したアグリゲーターのセットアップ」を参照してください。 AWS AWS 設定項目を記録するアカウントごとに、リージョンごとに個別の設定レコーダーを作成する必要があります。
put-configuration-recorder
put-configuration-recorder
コマンドは、以下の例のようになります。
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
--configuration-recorder
---recording-group
このコマンドはとフィールドを使用します。
注記
レコーディンググループと設定レコーダー
--recording-group
フィールドは、記録するリソースタイプを指定します。
--configuration-recorder
このフィールドではname
、設定レコーダー (recordingMode
) roleArn
のデフォルトの記録頻度だけでなく、およびも指定します。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
put-configuration-recorder
は、--recording-group
パラメータに次のオプションを使用します。
-
allSupported=true
— グローバル IAM リソースタイプを除く、 AWS Config サポートされているすべてのリソースタイプの設定変更を記録します。 AWS Config 新しいリソースタイプへのサポートを追加すると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。 -
includeGlobalResourceTypes=true
- このオプションは、グローバル IAM リソースタイプ (IAM ユーザー、グループ、ロール、および カスタマー管理ポリシー) にのみ適用されるバンドルです。これらのグローバル IAM リソースタイプは、2022 AWS Config 年 2 AWS Config 月以前に利用可能だったリージョンでのみ記録できます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。アジアパシフィック (ハイデラバード)
アジアパシフィック (メルボルン)
カナダ西部 (カルガリー)
欧州 (スペイン)
欧州 (チューリッヒ)
イスラエル (テルアビブ)
中東 (アラブ首長国連邦)
重要
Aurora グローバルクラスターは有効なすべてのリージョンで記録されます
AWS::RDS::GlobalCluster
リソースタイプは、に設定されている場合でも、 AWS ConfigincludeGlobalResourceTypes
設定レコーダーが有効になっているすべてのサポート対象リージョンに記録されます。false
includeGlobalResourceTypes
オプションは、IAM ユーザー、グループ、ロール、および カスタマー管理ポリシーにのみ適用されるバンドルです。有効なすべてのリージョンで
AWS::RDS::GlobalCluster
を記録しない場合は、以下のいずれかの記録方法を使用します。[除外を伴う、現在および将来のすべてのリソースタイプを記録する] (
EXCLUSION_BY_RESOURCE_TYPES
)、または[特定のリソースタイプを記録する] (
INCLUSION_BY_RESOURCE_TYPES
)。
詳細については、「記録対象のリソースの選択」を参照してください。
重要
includeGlobalResourceタイプと除外記録戦略
includeGlobalResourceTypes
EXCLUSION_BY_RESOURCE_TYPES
このフィールドはレコーディング戦略には影響しません。つまり、グローバルな IAM リソースタイプ (IAM ユーザー、グループ、ロール、カスタマー管理ポリシー)includeGlobalResourceTypes
は、exclusionByResourceTypes
がに設定されている場合の除外項目として自動的に追加されないということです。false
includeGlobalResourceTypes
フィールドのデフォルトではグローバル IAM リソースタイプを除くすべてのサポート対象リソースタイプの設定変更が記録されるため、AllSupported
このフィールドはフィールドを変更する場合にのみ使用してください。AllSupported
AllSupported
がに設定されているときにグローバル IAM リソースタイプを含めるにはtrue
、includeGlobalResourceTypes
必ずに設定してください。true
グローバル IAM
EXCLUSION_BY_RESOURCE_TYPES
リソースタイプを記録ストラテジーから除外するには、resourceTypes
それらのリソースタイプをのフィールドに手動で追加する必要があります。exclusionByResourceTypes
注記
必須フィールドとオプションフィールド
includeGlobalResourceTypes
をtrue
に設定する前に、allSupported
フィールドをtrue
に設定します。オプションで、
RecordingStrategy
のuseOnly
フィールドをALL_SUPPORTED_RESOURCE_TYPES
に設定することもできます。注記
フィールドを無効にする
のフィールドでグローバル IAM
includeGlobalResourceTypes
false
AWS Config リソースタイプだけを設定してもRecordingGroup、resourceTypes
フィールドを false に設定したかどうかにかかわらず、指定されたリソースタイプの設定変更が記録されます。includeGlobalResourceTypes
グローバル IAM リソースタイプ (IAM ユーザー、ロール、カスタマー管理ポリシー) の設定変更を記録しない場合は、
resourceTypes
フィールドを false に設定するだけでなく、それらをincludeGlobalResourceTypes
フィールドに入れないようにしてください。 -
recordingStrategy
— 設定レコーダーの記録方法を指定します。recordingGroup.json
ファイルは、 AWS Config で記録するリソースのタイプを指定します。-
useOnly
フィールドをに設定するとALL_SUPPORTED_RESOURCE_TYPES
、グローバル IAM リソースタイプを除く、 AWS Config サポートされているすべてのリソースタイプの設定変更が記録されます。RecordingStrategyオプションで、allSupported
のフィールドをに設定できますRecordingGroup。true
AWS Config 新しいリソースタイプへのサポートを追加すると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。 -
useOnly
フィールドをに設定するとINCLUSION_BY_RESOURCE_TYPES
、RecordingStrategy AWS ConfigRecordingGroupのフィールドで指定したリソースタイプの設定変更のみが記録されます。resourceTypes
useOnly
RecordingStrategyフィールドをに設定するとEXCLUSION_BY_RESOURCE_TYPES
、 AWS Config のフィールドに記録されないように指定したリソースタイプを除く、resourceTypes
サポートされているすべてのリソースタイプの設定変更が記録されますExclusionByResourceTypes。
注記
必須フィールドとオプションフィールド
--recording-group
の [allSupported
] フィールドをtrue
に設定した場合、この [recordingStrategy
] フィールドはオプションです。--recording-group
の [resourceTypes
] フィールドにリソースタイプを含める場合、[recordingStrategy
] フィールドはオプションです。exclusionByResourceTypes
の [resourceTypes
] フィールドに記録から除外するリソースタイプを含める場合、[recordingStrategy
] フィールドは必須です。注記
フィールドを無効にする
記録方法に
EXCLUSION_BY_RESOURCE_TYPES
を選択した場合、[exclusionByResourceTypes
] フィールドはリクエスト内の他のプロパティよりも優先されます。例えば、
includeGlobalResourceTypes
を false に設定した場合でも、グローバル IAM リソースタイプがexclusionByResourceTypes
のresourceTypes
フィールドに例外として明記されていない限り、グローバルリソースタイプはこのオプションに自動的に記録されます。注記
グローバルリソースタイプおよびリソースの除外の記録方法
デフォルトでは、
EXCLUSION_BY_RESOURCE_TYPES
記録方法を選択した場合、 AWS Config 設定レコーダーを設定したリージョンにグローバルリソースタイプを含む新しいリソースタイプへのサポートが追加されると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。除外として特に記載されていない限り、
AWS::RDS::GlobalCluster
設定レコーダーが有効になっていれば、 AWS Config サポートされているすべてのリージョンで自動的に記録されます。IAM ユーザー、グループ、ロール、顧客管理ポリシーは、設定レコーダーを設定したリージョンが 2022 年 2 AWS Config 月以前に利用可能だったリージョンの場合、そのリージョンに記録されます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。
アジアパシフィック (ハイデラバード)
アジアパシフィック (メルボルン)
カナダ西部 (カルガリー)
欧州 (スペイン)
欧州 (チューリッヒ)
イスラエル (テルアビブ)
中東 (アラブ首長国連邦)
次に
recordingGroup.json
に対するリクエストの構文例を示します。{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }注記
既存のロール AWS Config
AWS AWS Security Hub AWS Control Towerやなどを使用するサービスを使用していて AWS Config、 AWS Config ロールが既に作成されている場合は、セットアップ時に使用する IAM ロールが、 AWS Config 作成済みのロールと同じ最小権限を保持していることを確認してください。 AWS Config これを行って、 AWS 他のサービスが期待どおりに動作し続けるようにする必要があります。
たとえば、Amazon Simple Storage Service (Amazon S3) AWS Config オブジェクトの読み取りを許可する IAM ロールがある場合は AWS Control Tower 、セットアップ時に使用する IAM ロール内で同じ権限が付与されていることを確認してください。 AWS Configそうしないと、運用方法に支障をきたす可能性があります。 AWS Control Tower の IAM ロールの詳細については AWS Config、「の Identity and Access Management」を参照してください。 AWS Config
注記
多数の評価 AWS Config
AWS Configでの最初の月の記録では、その後の月に比べてアカウントのアクティビティが増加していることに気付くかもしれません。最初のブートストラッププロセスでは、 AWS Config 記録対象として選択したアカウントのすべてのリソースに対して評価を実行します。 AWS Config
一時的なワークロードを実行している場合、 AWS Config 一時的なリソースの作成や削除に伴う設定変更を記録するため、アクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、 AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。
注記
利用可能なリージョン
追跡するリソースタイプを指定する前に、「利用可能地域別のリソース範囲」をチェックして、設定するリージョンでそのリソースタイプがサポートされているかどうかを確認してください。 AWS Config AWS AWS Config 1 AWS Config つ以上のリージョンでリソースタイプがサポートされている場合は、指定したリソースタイプが設定先のリージョンでサポートされていなくても AWS Config、 AWS がサポートしているすべてのリージョンでそのリソースタイプを記録できます AWS Config。
-
put-configuration-recorder
コマンドは、--configuration-recorder
パラメータで次のフィールドを使用します。
name
— 設定レコーダーの名前。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。roleARN
— AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN)。recordingMode
— AWS Config 設定変更を記録するために使用するデフォルトの記録頻度を指定します。 AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。-
recordingFrequency
— AWS Config 設定変更の記録に使用されるデフォルトの記録頻度。注記
AWS Firewall Manager リソースを監視するには、継続的な記録が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides
– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride
オブジェクトの配列です。recordingModeOverrides
配列の各recordingModeOverride
オブジェクトは、次の 3 つのフィールドで構成されます。description
- オーバーライドに入力した説明。recordingFrequency
- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。resourceTypes
— AWS Config オーバーライドに含まれるリソースタイプを指定するカンマで区切られたリスト。
-
注記
必須フィールドとオプションフィールド
put-configuration-recorder
の recordingMode
フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。
注記
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES
) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json
このファイルには、設定レコーダー () roleArn
recordingMode
のデフォルトの記録頻度だけでなく、name
も指定されています。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
put-delivery-channel
配信チャネルを設定するには、put-delivery-channel
コマンドを使用します。
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
deliveryChannel.json ファイルには、配信チャネルの属性を指定します。
{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
この例では以下の属性を設定します。
-
name
- 配信チャネルの名前です。デフォルトでは、 AWS Configdefault
新しい配信チャネルに名前が割り当てられます。put-delivery-channel
コマンドで配信チャネル名を更新することはできません。名前を変更する手順については、[配信チャネルの名前変更] を参照してください。 -
s3BucketName
— AWS Config 設定スナップショットと設定履歴ファイルを配信する S3 バケットの名前。AWS 別のアカウントに属するバケットを指定する場合、 AWS Configそのバケットにはアクセス権限を付与するポリシーが必要です。詳細については、「AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可」を参照してください。
-
snsTopicARN
— AWS Config 設定変更に関する通知を送信する Amazon SNS トピックのアマゾンリソースネーム (ARN)。別のアカウントからトピックを選択する場合、そのトピックにはアクセス権限を付与するポリシーが必要です。 AWS Config詳細については、「Amazon SNS トピックへのアクセス許可」を参照してください。
-
configSnapshotDeliveryProperties
—deliveryFrequency
AWS Config 設定スナップショットを配信する頻度を設定する属性が含まれます。
start-configuration-recorder
有効化を終了するには AWS Config、start-configuration-recorder
コマンドを使用します。
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName