AWS Config
開発者ガイド

コンソールによる AWS Config の設定

AWS マネジメントコンソール で AWS Config の使用を開始すると、以下の操作を実行できます。

  • AWS Config で記録するリソースタイプを指定する。

  • 設定変更を通知するように Amazon SNS を設定する。

  • 設定情報を受け取る Amazon S3 バケットを指定する。

  • AWS Config マネージドルールを追加してリソースタイプを評価する。

AWS Config を初めて使用する場合や、新しいリージョンで AWS Config を設定する場合は、マネージドルールを選択してリソースの設定を評価できます。AWS Config および AWS Config ルールをサポートしているリージョンについては、「AWS Config のリージョンとエンドポイント」 (アマゾン ウェブ サービス全般のリファレンス) を参照してください。

コンソールで AWS Config を設定するには

  1. AWS マネジメントコンソール にサインインして AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Config コンソールを初めて開く場合や新しいリージョンで AWS Config を設定する場合、AWS Config コンソールページは次のように表示されます。

    
            サービスの概要を示す AWS Config の開始方法ページ
  3. [Get Started Now] を選択します。

  4. [設定] ページの [記録するリソースタイプ] で、AWS Config で記録する AWS リソースタイプを指定します。

    • [All resources (すべてのリソース)] – AWS Config はすべてのサポートされているリソースを記録します。以下のオプションがあります。

      • [Record all resources supported in this region (このリージョンではサポートされているすべてのリソースを記録します)] – AWS Config はすべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。AWS Config で新しいリソースタイプのサポートを追加するとき、AWS Config では自動的にそのタイプのリソースの記録を開始します。

      • [Include global resources (グローバルリソースを含める)] – AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。AWS Config で新しいグローバルリソースタイプのサポートを追加すると、AWS Config では自動的にそのタイプのリソースの記録を開始します。

    • [Specific types (特定のタイプ)] – AWS Config は、指定された AWS リソースタイプのみの設定変更を記録します。

    これらのパラメータの詳細については、AWS Config で記録するリソースの選択を参照してください。

  5. [Amazon S3 バケット] で、AWS Config から設定履歴と設定スナップショットファイルを送信する先の Amazon S3 バケットを選択します。

    • [新しいバケットの作成] – [バケット名] に Amazon S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しない、一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細は、Amazon Simple Storage Service 開発者ガイドの「Bucket Restrictions and Limitations」を参照してください。

    • [Choose a bucket from your account (アカウントからバケットを選択)] – [バケット名] で目的のバケットを選択します。

    • [別のアカウントからバケットを選択] – [バケット名] にバケット名を入力します。

      別のアカウントのバケットを選択する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon S3 バケットへのアクセス許可」を参照してください。

  6. [Amazon SNS Topic (SNS トピック)] で、[Stream configuration changes and notifications to an &SNS; topic (設定の変更と通知を SNS トピックにストリーミングする)] を選択して AWS Config から情報をストリーミングするかどうかを指定します。AWS Config は、設定履歴の配信、設定スナップショットの配信、コンプライアンスなどの通知を送信します。

  7. AWS Config から Amazon SNS トピックにストリーミングすることを選択した場合は、ストリーミング先のトピックを選択します。

    • [新しい トピックの作成] – [トピック名] に SNS トピックの名前を入力します。

    • [アカウントからトピックを選択] – [トピック名] で目的のトピックを選択します。

    • [別のアカウントからトピックを選択] – [トピック ARN] にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントのトピックを選択する場合、そのトピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNS トピックのアクセス許可」を参照してください。

    注記

    Amazon SNS トピックのリージョンは、AWS Config を設定したリージョンと同じであることが必要です。

  8. [&CC; ロール] で、設定情報を記録して Amazon S3 および Amazon SNS に送信するアクセス許可を AWS Config に付与する IAM ルールを選択します。

    • [Create a role (ロールの作成)] – AWS Config は、必要なアクセス許可を持つロールを作成します。[Role name (ロール名)] で AWS Config が作成する名前をカスタマイズできます。

    • [Choose a role from your account (アカウントからロールを選択)] – [Role name (ロール名)] でアカウントの IAM ロールを選択します。AWS Config が必要なポリシーをアタッチします。詳細については、「AWS Config に割り当てられた IAM ロールのアクセス許可」を参照してください。

      注記

      IAM ロールをそのまま使用する場合は、チェックボックスをオンにします。AWS Config はそのロールに対してはポリシーをアタッチしません。

  9. ルールをサポートするリージョンで AWS Config を設定している場合は、[次へ] を選択します。「コンソールによる AWS Config ルールの設定」を参照してください。

    問題がなければ、[保存] を選択します。&CC; に [Resource inventory (リソースインベントリ)] ページが表示されます。

アカウント内の既存のリソースを検索する方法とリソースの設定の説明については、「AWS リソースの表示と管理を始めましょう」を参照してください。

AWS Config から Amazon SNS トピックに情報をストリーミングすることを選択した場合は、E メールで通知を受信できます。詳細については、「E メールによる AWS Config リソースの変更のモニタリング」を参照してください。Amazon Simple Queue Service を使用して、プログラムで AWS リソースをモニタリングすることもできます。詳細については、「Amazon SQS を使用した AWS リソースの変更のモニタリング」を参照してください。