概念

AWS Config では、設定内容、相互の関連、時間の経過とともに設定と関係がどのように変化するかなど、 AWS アカウントに関連付けられたリソースの詳細が提供されます。 AWS Config の概念を詳しく見ていきます。

目次

• リソース管理
  • AWS リソース
  • 設定項目
  • 構成レコーダー
  • 設定履歴
  • 設定スナップショット
  • 設定ストリーム
  • リソース関係
• AWS Config ルール
  • AWS Config マネージドルール
  • AWS Config カスタムルール
  • トリガータイプ
  • 評価モード
• コンフォーマンスパック
• マルチアカウントマルチリージョンのデータ集約
  • ソースアカウント
  • 送信元リージョン
  • アグリゲータ
  • アグリゲータアカウント
  • 認証
• の使用 AWS Config
  • AWS Config コンソール
  • AWS Config CLI
  • AWS Config APIs
  • AWS SDKs
• へのアクセスを制御する AWS Config
• パートナーソリューション

リソース管理

の基本コンポーネントを理解すること AWS Config は、リソースのインベントリと変更を追跡し、 AWS リソースの設定を評価するのに役立ちます。

AWS リソース

AWS リソースは、、 AWS Command Line Interface (CLI) AWS Management Console、 AWS SDKs、または AWS パートナーツールを使用して作成および管理するエンティティです。リソースの例としては AWS 、Amazon EC2 インスタンス、セキュリティグループ、Amazon VPCs、Amazon Elastic Block Store などがあります。 は、リソース ID や Amazon リソースネーム (ARN) などの一意の識別子を使用して各リソース AWS Config を参照します。詳細については、「サポートされているリソースタイプ」を参照してください。

設定項目

設定項目は、アカウントに存在するサポートされている AWS リソースのさまざまな属性 point-in-time の表示を表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントが含まれます。 は、記録しているリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。例えば、 AWS Config が Amazon S3 バケットを記録している場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。また、 AWS Config を選択して、設定した記録頻度で設定項目を作成することもできます。

詳細については、「Components of a Configuration Item」および「Selecting Which Resources are Recorded | Recording Frequency」を参照してください。

構成レコーダー

構成レコーダーは、サポートされるリソースの構成を設定項目としてアカウントに保存します。記録を開始する前に、設定レコーダーを作成して起動する必要があります。設定レコーダーはいつでも停止して再起動できます。詳細については、「設定レコーダーの管理」を参照してください。

デフォルトでは、設定レコーダー AWS Config は、 が実行されているリージョンでサポートされているすべてのリソースを記録します。設定レコーダーをカスタマイズして、指定したリソースタイプのみを記録することもできます。詳細については、「AWS Config どのリソースを記録するかを選択する」を参照してください。

AWS Management Console または CLI を使用してサービスをオンにすると、 AWS Config によって自動的に設定レコーダーが作成され、起動されます。

設定履歴

設定履歴は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、指定した Amazon S3 バケットに記録されるリソースタイプごとに設定履歴ファイル AWS Config を自動的に配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。

詳細については、AWS 「リソース設定と履歴の表示」およびAWS 「リソース設定と履歴の管理」を参照してください。

設定スナップショット

設定スナップショットは、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。

設定ストリーム

設定ストリームは、 が記録しているリソースのすべての設定項目を自動的に更新したリスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、 AWS リソースの設定を反映する必要がある外部システムを更新したりできるように、設定の変更が発生したときに監視するのに役立ちます。

リソース関係

AWS Config は、アカウント内の AWS リソースを検出し、 AWS リソース間の関係マップを作成します。例えば関係には、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス i-a1b2c3d4 に接続された Amazon EBS ボリューム vol-123ab45d が含まれる場合があります。

詳細については、「サポートされているリソースタイプ」を参照してください。

AWS Config ルール

AWS Config ルールは、特定の AWS リソースまたは AWS アカウント全体に必要な構成設定を表します。リソースがルールチェックに合格しない場合、 はリソースとルールを非準拠の として AWS Config フラグ付けし、Amazon SNS を通じて AWS Config 通知します。 AWS Config ルールで考えられる評価結果は、次のとおりです。

• COMPLIANT - ルールはコンプライアンスチェックの条件を満たしています。

• NON_COMPLIANT - ルールがコンプライアンスチェックの条件を満たしていません。

• ERROR - 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。

• NOT_APPLICABLE - ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。

ルールには、 AWS Config マネージドルールと AWS Config カスタムルールの 2 種類があります。ルール定義とルールメタデータの構造の詳細については、AWS Config 「 ルールのコンポーネント」を参照してください。

AWS Config マネージドルール

AWS Config マネージドルールは、 によって作成された事前定義済みのカスタマイズ可能なルールです AWS Config。マネージドルールのリストについては、「 AWS Config マネージドルールのリスト」を参照してください。

AWS Config カスタムルール

AWS Config カスタムルールは、ゼロから作成するルールです。 AWS Config カスタムルールを作成するには 2 つの方法があります。Lambda 関数 (AWS Lambda デベロッパーガイド) と Guard (Guard GitHub Repository) を使用する方法、 で AWS Lambda 作成された policy-as-code language. AWS Config custom ルールはAWS Config カスタム Lambda ルール、Guard で作成された AWS Config カスタムルールはAWS Config カスタムポリシールール と呼ばれます。

AWS Config カスタムポリシールールを作成する方法のチュートリアルについては、「カスタムポリシールールの作成 AWS Config」を参照してください。 AWS Config カスタム Lambda ルールの作成方法のチュートリアルについては、AWS Config 「カスタム Lambda ルールの作成」を参照してください。

トリガータイプ

アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 は、評価がトリガーされるたびに評価の実行 AWS Config を継続します。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。

設定変更

AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。

どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。

• 1 つ以上のリソースタイプ

• リソースタイプとリソース ID の組み合わせ

• タグキーとタグ値の組み合わせ

• 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。

定期的

AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。

ハイブリッド

一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定変更を検出するときと、指定した頻度でリソース AWS Config を評価します。

評価モード

AWS Config ルールには 2 つの評価モードがあります。

プロアクティブ

プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、リージョンのアカウントにあるプロアクティブルールのセットに基づいて、リソースを定義するために AWS リソースプロパティのセットが COMPLIANT か NON_COMPLIANT かを評価できます。

詳細については、「評価モード」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

検出

検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。

コンフォーマンスパック

コンフォーマンスパックは、 AWS Config ルールと修復アクションのコレクションで、 アカウント、リージョン、または の組織全体に 1 つのエンティティとして簡単にデプロイできます AWS Organizations。

コンフォーマンスパックは、 AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含む YAML テンプレートを作成することで作成します。テンプレートは、 AWS Config コンソールまたは AWS CLI を使用してデプロイできます。

すぐに使用を開始して AWS 環境を評価するには、コンフォーマンスパックテンプレートのサンプルの 1 つを使用します。カスタムコンフォーマンスパックに基づいてコンフォーマンスパックの YAML ファイルをゼロから作成することもできます。カスタムコンフォーマンスパックは、 アカウントと AWS リージョン、または の組織全体にデプロイできる AWS Config ルールと修復アクションの一意のコレクションです AWS Organizations。

プロセスチェックは、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できるようにする AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。 AWS Config設定と手動チェックを含むすべてのコンプライアンスを 1 か所で追跡できます。

マルチアカウントマルチリージョンのデータ集約

のマルチアカウントマルチリージョンデータ集約 AWS Config を使用すると、複数のアカウントとリージョンの設定データとコンプライアンスデータを 1 つのアカウントに集約 AWS Config できます。マルチアカウントマルチリージョンのデータ集約は、中央 IT 管理者がエンタープライズ内の複数の AWS アカウントのコンプライアンスをモニタリングするのに役立ちます。

ソースアカウント

ソースアカウントは、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウントです。ソースアカウントは、個別のアカウントまたは AWS Organizations の組織を指定できます。ソースアカウントは個別に提供することも、 から取得することもできます AWS Organizations。

送信元リージョン

ソースリージョンは、 AWS Config 設定データとコンプライアンスデータを集約する AWS リージョンです。

アグリゲータ

アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定とコンプライアンスデータを収集 AWS Config する の新しいリソースタイプです。集約された AWS Config 設定とコンプライアンスデータを表示するリージョンにアグリゲータを作成します。

注記

アグリゲータは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることで、アグリゲータが表示を許可されているソースアカウントとリージョンの読み取り専用ビューを提供します。アグリゲータは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを介してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりすることはできません。

アグリゲータを使用しても、追加コストは発生しません。

アグリゲータアカウント

アグリゲータアカウントは、アグリゲータを作成するアカウントです。

認証

ソースアカウントの所有者である認証とは、アグリゲータアカウントとリージョンに付与して AWS Config 設定とコンプライアンスデータを収集するアクセス許可を指します。 AWS Organizations の一部であるソースアカウントを集約する場合、承認は必要ありません。

詳細については、「Multi-Account Multi-Region Data Aggregation」セクションのトピックを参照してください。

の使用 AWS Config

AWS Config コンソール

AWS Config コンソールを使用してサービスを管理できます。コンソールには、次のような多くの AWS Config タスクを実行するためのユーザーインターフェイスが用意されています。

• 記録する AWS リソースのタイプを指定します。

• 記録するリソースを設定します。例を以下に示します。

  • Amazon S3 バケットの選択｡

  • Amazon SNS トピックの選択。

  • AWS Config ロールの作成。

• 特定の AWS リソースまたは AWS アカウント全体に必要な構成設定を表すマネージドルールとカスタムルールを作成します。

• 複数のアカウントおよびリージョンにわたるデータを集約するための設定アグリゲータの作成および管理。

• サポートされるリソースの現在の設定のスナップショットの表示。

• AWS リソース間の関係の表示。

の詳細については AWS Management Console、「」を参照してくださいAWS Management Console。

AWS Config CLI

AWS Command Line Interface は、コマンドライン AWS Config から とやり取りするために使用できる統合ツールです。詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。 AWS Config CLI コマンドの完全なリストについては、「使用可能なコマンド」を参照してください。

AWS Config APIs

コンソールと CLI に加えて、 AWS Config RESTful APIs を使用して AWS Config 直接プログラムすることもできます。詳細については、「 APIリファレンスAWS Config」を参照してください。

AWS SDKs

AWS Config API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、 AWS Config へのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、Amazon Web Services のツールページを参照してください。

へのアクセスを制御する AWS Config

AWS Identity and Access Management は、Amazon Web Services (AWS) のお客様がユーザーとユーザーアクセス許可を管理できるようにするウェブサービスです。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「アクセス許可一式を作成」の手順を実行します。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については、IAM ユーザーガイドの「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが継承できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

パートナーソリューション

AWS は、ログ記録と分析に関するサードパーティースペシャリストと提携して、 AWS Config 出力を使用するソリューションを提供します。詳細については、 AWS Config の詳細ページを参照してくださいAWS Config。