設定レコーダーの管理 - AWS Config
設定レコーダーの管理 (コンソール)設定レコーダーの管理 (AWS CLI)設定レコーダーのドリフト検出

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定レコーダーの管理

AWS Config は、設定レコーダーを使用してリソース設定の変更を検出し、これらの変更を設定項目としてキャプチャします。がリソース設定を追跡する前に AWS Config 、設定レコーダーを作成する必要があります。

コンソールまたは AWS CLI AWS Config を使用して を設定すると、 によって設定レコーダー AWS Config が自動的に作成されて起動されます。詳細については、「入門ガイド AWS Config」を参照してください。

デフォルトでは、設定レコーダーは AWS Config が実行されているリージョンのすべてのサポートされているリソースを記録します。設定レコーダーをカスタマイズして、指定したリソースタイプのみを記録することもできます。詳細については、「AWS Config どのリソースを記録するかを選択する」を参照してください。

が設定の記録 AWS Config を開始すると、サービス使用料が請求されます。料金に関する情報については、[AWS Config の料金]を参照してください。

設定レコーダーを起動すると、 AWS Config はアカウント内のすべての AWS リソースのインベントリを取得します。

重要

設定レコーダがオフになっている場合、削除されたリソースの評価結果を保持することができる

設定レコーダーがオフになっている場合、 は削除を含むリソースの設定の変更 AWS Config を追跡できなくなります。これにより、設定レコーダーをオフにした場合、以前に削除されたリソースの評価結果が表示されることがあります。

設定レコーダーの管理 (コンソール)

AWS Config コンソールを使用して、設定レコーダーを停止または開始できます。設定レコーダーの記録頻度を変更することもできます。

To stop or start the configuration recorder

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. ナビゲーションペインで [Settings (設定)] を選択します。

  3. 設定レコーダーを停止または起動します。

    • 記録を停止する場合は、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。

    • 記録を開始する場合は、[Recording is off] (記録はオフ) の [Turn on] (有効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。

To change the recording frequency

AWS Config では、連続録画日次録画がサポートされています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。詳細については、「Recording Frequency」を参照してください。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [編集] を選択すると、「Recording frequency」の下にオプションが表示されます。

設定レコーダーの管理 (AWS CLI)

を使用して AWS CLI 、設定レコーダーを停止または開始できます。、 AWS Config API AWS CLI、または AWS SDKs のいずれかを使用して、設定レコーダーの名前を変更または削除することもできます。 AWS CLI を使用する手順は以下のとおりです。

To stop the configuration recorder

stop-configuration-recorderコマンドを使用します。

$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
To start the configuration recorder

start-configuration-recorderコマンドを使用します。

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
To change the recording frequency

put-configuration-recorder のコマンドを使用して、設定レコーダーの記録頻度を変更します。

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json

configurationRecorder.json ファイルは、 nameroleArn、および設定レコーダー () のデフォルトの記録頻度を指定しますrecordingMode。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-configuration-recorder コマンドは、--configuration-recorder パラメータで次のフィールドを使用します。

  • name – 設定レコーダーの名前。 は、設定レコーダーの作成時に「デフォルト」の名前 AWS Config を自動的に割り当てます。

  • roleARN – 設定レコーダーが引き受け AWS Config て使用する IAM ロールの Amazon リソースネーム (ARN)。

  • recordingMode – が設定変更を記録 AWS Config するために使用するデフォルトの記録頻度を指定します。 は、継続的な記録毎日の記録 AWS Config をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。

    • recordingFrequency – が設定変更を記録 AWS Config するために使用するデフォルトの記録頻度。

      注記

      AWS Firewall Manager は、 リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    • recordingModeOverrides – このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride オブジェクトの配列です。recordingModeOverrides 配列の各 recordingModeOverride オブジェクトは、次の 3 つのフィールドで構成されます。

      • description - オーバーライドに入力した説明。

      • recordingFrequency - オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。

      • resourceTypes – オーバーライド AWS Config に含めるリソースタイプを指定するカンマ区切りリスト。

注記

必須フィールドとオプションフィールド

put-configuration-recorderrecordingMode フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。

注記

制限

次のリソースタイプに日次記録はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。

To delete the configuration recorder

delete-configuration-recorderコマンドを使用します。

$ aws configservice delete-configuration-recorder --configuration-recorder-name default
To rename the configuration recorder

設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、次に新しい名前で作り直す必要があります。

  1. describe-configuration-recordersコマンドを使用して現在の設定レコーダーの名前を検索します。

    $ aws configservice describe-configuration-recorders
{
    "ConfigurationRecorders": [
        {
            "roleARN": "arn:aws:iam::012345678912:role/myConfigRole",
            "name": "default"
        }
    ]
}

  2. delete-configuration-recorderコマンドを使用して現在の設定レコーダーを削除します。

    $ aws configservice delete-configuration-recorder --configuration-recorder-name default

  3. put-configuration-recorderコマンドを使用して、新しい名前で設定レコーダーを作成します。

    $ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole

  4. start-configuration-recorder コマンドを使用して記録を再開します。

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

設定レコーダーのドリフト検出

AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。例えば、この CI は、追跡 AWS Config を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または開始したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。

AWS::Config::ConfigurationRecorder リソースタイプは のシステムリソースタイプ AWS Config であり、このリソースタイプの記録は、サポートされているすべてのリージョンでデフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。