AWS CLI を使用して顧客管理設定レコーダーから AWS Config を起動する
まず、顧客管理設定レコーダーを作成してAWS Configを起動します。AWS CLIを使用して顧客管理設定レコーダーを作成するには、put-configuration-recorder、put-delivery-channel、および start-configuration-recorder のコマンドを使用します。
put-configuration-recorderコマンドは、顧客管理設定レコーダーを作成します。put-delivery-channelコマンドは、S3 バケットおよび SNS トピックに設定情報をAWS Config が配信する配信チャネルを作成します。start-configuration-recorderは、顧客管理設定レコーダーを起動します。顧客管理設定レコーダーは、指定したリソースタイプの設定変更の記録を開始します。
トピック
考慮事項
S3 バケット、SNS トピック、IAM ロールが必要です
顧客管理設定レコーダーを作成するには、前提条件として S3 バケット、SNS トピック、およびポリシーがアタッチされた IAM ロールを作成する必要があります。AWS Config の前提条件をセットアップするには、「前提条件」を参照してください。
顧客管理設定レコーダーは各アカウントでリージョンごとに 1 つ
顧客管理設定レコーダーは、各 AWS リージョンで AWS アカウントごとに 1 つのみ持つことができます。
各リージョンのアカウントごとに 1 つの配信チャネル
配信チャネルリージョンは、各 AWS リージョンで AWS アカウントごとに 1 つのみ持つことができます。
ポリシーとコンプライアンス結果
IAM ポリシーと、AWS Organizations で管理されるその他のポリシーが、AWS Config がリソースの設定変更の記録を許可されるかどうかに影響する可能性があります。また、リソースの設定はルールで直接評価され、評価の実行時にはこれらのポリシーは考慮されません。適用されるポリシーが、意図する AWS Config の使用方法と合致していることを確認してください。
ステップ 1: put-configuration-recorder コマンドを実行する
put-configuration-recorder コマンドを使用して、顧客管理設定レコーダーを作成します。
このコマンドは、[--configuration-recorder] フィールドと [---recording-group] フィールドを使用します。
$ aws configservice put-configuration-recorder \ --configuration-recorderfile://configurationRecorder.json\ --recording-groupfile://recordingGroup.json
configuration-recorder フィールド
[configurationRecorder.json] ファイルは、name および roleArn、さらに設定レコーダーのデフォルトの記録頻度を指定します (recordingMode)。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] } }
recording-group フィールド
recordingGroup.json ファイルは、記録するリソースタイプを指定します。
{ "allSupported":boolean, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude] }, "includeGlobalResourceTypes":boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [Comma-separated list of resource types to include] }
オブジェクトの詳細については、「AWS CLI コマンドリファレンス」の「put-configuration-recorder」を参照してください。
ステップ 2: put-delivery-channel コマンドを実行する
put-delivery-channel コマンドを使用して、配信チャネルを作成します。
このコマンドは、[--delivery-channel] フィールドを使用します。
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
delivery-channel フィールド
deliveryChannel.json ファイルでは、以下を規定します。
配信チャネルの
name。AWS Config が設定スナップショットを送信する
s3BucketName。AWS Config が通知を送信する
snsTopicARNAWS Config が設定スナップショットを配信する頻度と、定期的なルールの評価を呼び出す頻度を設定する
configSnapshotDeliveryProperties。
{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }
オブジェクトの詳細については、「AWS CLI コマンドリファレンス」の「put-delivery-channel」を参照してください。
ステップ 3: start-configuration-recorder コマンドを実行する
start-configuration-recorder コマンドを使用して AWS Config を起動します。
$ aws configservice start-configuration-recorder --configuration-recorder-nameconfigRecorderName
オブジェクトの詳細については、「AWS CLI コマンドリファレンス」の「start-configuration-recorder」を参照してください。
