翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
スタート AWS Config と AWS CLI
開始するには AWS Config と AWS CLI、、put-configuration-recorder、put-delivery-channelおよび start-configuration-recorder コマンドを次のように使用します。
put-configuration-recorderコマンドを使用すると、指定したリソース設定を記録する新しい設定レコーダーを作成できます。put-delivery-channelコマンドは、S3 バケットとSNSトピックに設定情報を配信する配信チャネルオブジェクトを作成します。配信チャネルが作成されると、 は選択したリソース設定の記録
start-configuration-recorderを開始します。これは、 で確認できます。 AWS アカウント。
レコーダーの名前と、 が引き受けるIAMロールの Amazon リソースネーム (ARN) を指定できます。 AWS Config および は設定レコーダーによって使用されます。 AWS Config は、設定レコーダーの作成時に「デフォルト」の名前を自動的に割り当てます。設定レコーダーの名前は、作成後に変更することはできません。設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、新しい名前で設定レコーダーを作成し直す必要があります。
をセットアップするには AWS Config を使用したマルチアカウントマルチリージョンデータ集約の場合 AWS CLI、「 を使用したアグリゲータのセットアップ」を参照してください。 AWS コマンドラインインターフェイス 。各 のリージョンごとに個別の設定レコーダーを作成する必要があります。 AWS アカウント 設定項目を記録する 。
トピック
考慮事項
前提条件
セットアップ前 AWS Config と AWS CLI、前提条件としてポリシーがアタッチされた S3 バケット、 SNSトピック、 IAMロールを作成する必要があります。その後、 を使用できます。 AWS CLI バケット、トピック、ロールを指定するには AWS Config。 の前提条件を設定するには AWS Config「前提条件」を参照してください。
アカウントごとにリージョンごとに 1 つの設定レコーダー
設定レコーダーチャンネルは、 ごとに 1 つだけ持つことができます。 AWS リージョン あたりの AWS アカウント、および を使用するには設定レコーダーが必要です AWS Config.
リージョンごとにアカウントごとに 1 つの配信チャネル
配信チャネルは 1 つにつき 1 つのみ持つことができます。 AWS リージョン あたりのリージョン AWS アカウント、および を使用するには配信チャネルが必要です AWS Config.
ステップ 1: put-configuration-recorder コマンドを実行する
put-configuration-recorder コマンドは、以下の例のようになります。
$ aws configservice put-configuration-recorder \ --configuration-recorderfile://configurationRecorder.json\ --recording-groupfile://recordingGroup.json
このコマンドは、 --configuration-recorder および ---recording-groupフィールドを使用します。
注記
記録グループと設定レコーダー
--recording-group フィールドは、記録するリソースタイプを指定します。
--configuration-recorder フィールドは、 nameと roleArn 、および設定レコーダー () のデフォルトの記録頻度を指定しますrecordingMode。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
put-configuration-recorder は、--recording-group パラメータに次のオプションを使用します。
-
allSupported=true– AWS Config は、グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更を記録します。メトリック AWS Config は、新しいリソースタイプのサポートを追加します。 AWS Config は、そのタイプのリソースの記録を自動的に開始します。 -
includeGlobalResourceTypes=true– このオプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーのグローバルIAMリソースタイプにのみ適用されるバンドルです。これらのグローバルIAMリソースタイプは、 によってのみ記録できます。 AWS Config リージョンで AWS Config は 2022 年 2 月より前に利用可能になりました。でサポートされているリージョンでは、グローバルIAMリソースタイプを記録できません AWS Config 2022 年 2 月より後。これらのリージョンのリストについては、「記録」を参照してください。 AWS リソース | グローバルリソース 。重要
Aurora グローバルクラスターは有効なすべてのリージョンで記録されます
AWS::RDS::GlobalClusterリソースタイプは、サポートされているすべての に記録されます。 AWS Config がincludeGlobalResourceTypesに設定されている場合でも、設定レコーダーが有効になっているリージョンfalse。includeGlobalResourceTypesオプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーのみに適用されるバンドルです。有効なすべてのリージョンで
AWS::RDS::GlobalClusterを記録しない場合は、以下のいずれかの記録方法を使用します。[除外を伴う、現在および将来のすべてのリソースタイプを記録する] (
EXCLUSION_BY_RESOURCE_TYPES)、または[特定のリソースタイプを記録する] (
INCLUSION_BY_RESOURCE_TYPES)。
詳細については、「記録対象のリソースの選択」を参照してください。
重要
includeGlobalResourceタイプと除外記録戦略
includeGlobalResourceTypesフィールドはEXCLUSION_BY_RESOURCE_TYPES記録戦略には影響しません。つまり、 が に設定されている場合、グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマー管理ポリシー)exclusionByResourceTypesincludeGlobalResourceTypesは除外として自動的に追加されませんfalse。includeGlobalResourceTypesフィールドはAllSupportedフィールドの変更にのみ使用してください。AllSupportedフィールドのデフォルトは、グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更を記録するためです。がAllSupportedに設定されているときにグローバルIAMリソースタイプを含めるにはtrue、必ず をincludeGlobalResourceTypesに設定してくださいtrue。EXCLUSION_BY_RESOURCE_TYPES記録戦略のグローバルIAMリソースタイプを除外するには、 のresourceTypesフィールドにリソースタイプを手動で追加する必要がありますexclusionByResourceTypes。注記
必須フィールドとオプションフィールド
includeGlobalResourceTypesをtrueに設定する前に、allSupportedフィールドをtrueに設定します。オプションで、
RecordingStrategyのuseOnlyフィールドをALL_SUPPORTED_RESOURCE_TYPESに設定することもできます。注記
フィールドを無効にする
includeGlobalResourceTypesを に設定falseし、 のresourceTypesフィールドにグローバルIAMリソースタイプを一覧表示するとRecordingGroup、 AWS ConfigincludeGlobalResourceTypesフィールドを false に設定しても、 は指定されたリソースタイプの設定変更を引き続き記録します。グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマー管理ポリシー) の設定変更を記録しない場合は、
resourceTypesフィールドを false に設定することに加えて、includeGlobalResourceTypesフィールドにそれらの変更を一覧表示しないようにします。 -
recordingStrategy— 設定レコーダーの記録方法を指定します。recordingGroup.jsonファイルは、リソースのタイプを指定します。 AWS Config は以下を記録します。-
の
useOnlyフィールドを に設定するRecordingStrategyとALL_SUPPORTED_RESOURCE_TYPES、 AWS Config は、グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更を記録します。オプションで、 のallSupportedフィールドを RecordingGroup に設定できますtrue。メトリック AWS Config は、新しいリソースタイプのサポートを追加します。 AWS Config は、そのタイプのリソースの記録を自動的に開始します。 -
の
useOnlyフィールドを に設定するRecordingStrategyとINCLUSION_BY_RESOURCE_TYPES、 AWS Config は、 のresourceTypesフィールドで指定したリソースタイプの設定変更のみを記録しますRecordingGroup。 の
useOnlyフィールドを に設定するRecordingStrategyとEXCLUSION_BY_RESOURCE_TYPES、 AWS Config は、 のresourceTypesフィールドに記録されないように指定するリソースタイプを除く、サポートされているすべてのリソースタイプの設定変更を記録しますExclusionByResourceTypes。
注記
必須フィールドとオプションフィールド
--recording-groupの [allSupported] フィールドをtrueに設定した場合、この [recordingStrategy] フィールドはオプションです。--recording-groupの [resourceTypes] フィールドにリソースタイプを含める場合、[recordingStrategy] フィールドはオプションです。exclusionByResourceTypesの [resourceTypes] フィールドに記録から除外するリソースタイプを含める場合、[recordingStrategy] フィールドは必須です。注記
フィールドを無効にする
記録方法に
EXCLUSION_BY_RESOURCE_TYPESを選択した場合、[exclusionByResourceTypes] フィールドはリクエスト内の他のプロパティよりも優先されます。例えば、
includeGlobalResourceTypesを false に設定しても、グローバルIAMリソースタイプは、 のresourceTypesフィールドに免除として具体的にリストされていない限り、このオプションに自動的に記録されますexclusionByResourceTypes。注記
グローバルリソースタイプおよびリソースの除外の記録方法
デフォルトでは、
EXCLUSION_BY_RESOURCE_TYPES記録戦略を選択した場合、 AWS Config は、グローバルリソースタイプを含む設定レコーダーをセットアップしたリージョンで新しいリソースタイプのサポートを追加します。 AWS Config は、そのタイプのリソースの記録を自動的に開始します。除外として特に記載されていない限り、 はサポートされているすべての に自動的に記録
AWS::RDS::GlobalClusterされます。 AWS Config リージョンは設定レコーダーが有効になっていました。IAM ユーザー、グループ、ロール、カスタマー管理ポリシーは、設定レコーダーを設定したリージョンが リージョンである場合、そのリージョンに記録されます。 AWS Config は 2022 年 2 月より前に利用可能になりました。でサポートされているリージョンでは、グローバルIAMリソースタイプを記録できません AWS Config 2022 年 2 月より後。これらのリージョンのリストについては、「記録」を参照してください。 AWS リソース | グローバルリソース 。
次に
recordingGroup.jsonに対するリクエストの構文例を示します。{ "allSupported":boolean, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude] }, "includeGlobalResourceTypes":boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [Comma-separated list of resource types to include] }注記
の承認ポリシー AWS Organizations 成功を防ぐことができる
既存のIAMロールを使用する場合は、 の承認ポリシーがないことを確認してください。 AWS Organizations これにより、 AWS Config リソースを記録するアクセス許可を持つ から。の承認ポリシーの詳細については、「」を参照してください。 AWS Organizations、「 でのポリシーの管理」を参照してください。 AWS Organizations ()AWS Organizations ユーザーガイド 。
IAMロールを再利用するときに最小限のアクセス許可を維持する
を使用する場合 AWS が使用する サービス AWS Configまたは AWS Security Hub または AWS Control Tower、および IAMロールが既に作成されている場合は、設定時に使用するIAMロールを確認してください。 AWS Config は、既存のIAMロールと同じ最小限のアクセス許可を保持します。これを行うと、他の が AWS サービスは期待どおりに実行され続けます。
例えば、 AWS Control Tower には、 を許可する IAMロールがあります。 AWS Config S3 オブジェクトを読み取るには、設定時に使用するIAMロールに同じアクセス許可が付与されていることを確認します。 AWS Config。 そうしないと、 の方法が妨げられる可能性があります。 AWS Control Tower が動作します。
注記
の数が多い AWS Config 評価
での最初の月の記録中に、アカウントでのアクティビティが増加することがあります。 AWS 後続の月と比較した場合の設定。最初のブートストラッププロセス中、 AWS Config は、選択したアカウント内のすべてのリソースに対して評価を実行します。 AWS Config 記録します。
エフェメラルワークロードを実行している場合、 からのアクティビティが増加することがあります。 AWS Config これらの一時リソースの作成と削除に関連する設定変更を記録する 。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 などがあります。 AWS Auto Scaling. 一時的なワークロードの実行によるアクティビティの増加を回避するには、これらのリソースタイプが記録されないように設定レコーダーを設定するか、 を使用して別のアカウントでこれらのタイプのワークロードを実行できます。 AWS Config 設定記録とルール評価の増加を避けるため、 をオフにしました。
注記
利用可能なリージョン
のリソースタイプを指定する前に AWS Config を追跡するには、 リージョン別のリソースカバレッジの可用性をチェックして、 でリソースタイプがサポートされているかどうかを確認します。 AWS 設定するリージョン AWS Config。 リソースタイプが でサポートされている場合 AWS Config 少なくとも 1 つのリージョンで、 でサポートされているすべてのリージョンでそのリソースタイプの記録を有効にできます。 AWS Configで指定されたリソースタイプがサポートされていない場合でも、 AWS 設定するリージョン AWS Config.
-
put-configuration-recorder コマンドは、--configuration-recorder パラメータで次のフィールドを使用します。
name– 設定レコーダーの名前。 AWS Config は、設定レコーダーの作成時に「デフォルト」の名前を自動的に割り当てます。roleARN– が引き受けるIAMロールの Amazon リソースネーム (ARN) AWS Config および は設定レコーダーによって使用されます。recordingMode– デフォルトの記録頻度を指定します。 AWS Config は を使用して設定変更を記録します。 AWS Config は、連続録画と日次録画をサポートしています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。-
recordingFrequency– のデフォルトの記録頻度 AWS Config は を使用して設定変更を記録します。注記
AWS Firewall Manager は、 リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverrideオブジェクトの配列です。recordingModeOverrides配列の各recordingModeOverrideオブジェクトは、次の 3 つのフィールドで構成されます。description- オーバーライドに入力した説明。recordingFrequency- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。resourceTypes– どのリソースタイプを指定するカンマ区切りリスト AWS Config はオーバーライドに を含めます。
-
注記
必須フィールドとオプションフィールド
put-configuration-recorder の recordingMode フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。
注記
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceComplianceAWS::Config::ConformancePackComplianceAWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json ファイルは、 nameと roleArn、および設定レコーダー () のデフォルトの記録頻度を指定しますrecordingMode。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] } }
ステップ 2: put-delivery-channel コマンドを実行する
以下のコード例は、PutDeliveryChannel の使用方法を示しています。
ステップ 3: start-configuration-recorder コマンドを実行する
オンにするには AWS Config、 start-configuration-recorder コマンドを使用します。
$ aws configservice start-configuration-recorder --configuration-recorder-nameconfigRecorderName
