AWS Config
開発者ガイド

コンソールによる AWS Config の設定

AWS マネジメントコンソール で AWS Config の使用を開始すると、以下の操作を実行できます。

  • AWS Config で記録するリソースタイプを指定する。

  • 設定変更を通知するように Amazon SNS を設定する。

  • 設定情報を受け取る Amazon S3 バケットを指定する。

  • AWS Config マネージドルールを追加してリソースタイプを評価する。

AWS Config を初めて使用する場合や、新しいリージョンで AWS Config を設定する場合は、マネージドルールを選択してリソースの設定を評価できます。AWS Config および AWS Config ルールをサポートしているリージョンについては、『アマゾン ウェブ サービス全般のリファレンス』「AWS Config のリージョンとエンドポイント」を参照してください。

コンソールで AWS Config を設定するには

  1. AWS マネジメントコンソール にサインインして AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Config コンソールを初めて開く場合や新しいリージョンで AWS Config を設定する場合、AWS Config コンソールページは次のように表示されます。

    
            サービスの概要を示す AWS Config の開始方法ページ
  3. [Get Started Now] を選択します。

  4. [設定] ページの [記録するリソースタイプ] で、AWS Config で記録する AWS リソースタイプを指定します。

    • [All resources (すべてのリソース)] – AWS Config はすべてのサポートされているリソースを記録します。以下のオプションがあります。

      • [Record all resources supported in this region (このリージョンではサポートされているすべてのリソースを記録します)] – AWS Config はすべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。AWS Config で新しいリソースタイプのサポートを追加するとき、AWS Config では自動的にそのタイプのリソースの記録を開始します。

      • [Include global resources (グローバルリソースを含める)] – AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。AWS Config で新しいグローバルリソースタイプのサポートを追加すると、AWS Config では自動的にそのタイプのリソースの記録を開始します。

    • [Specific types (特定のタイプ)] – AWS Config は、指定された AWS リソースタイプのみの設定変更を記録します。

    これらのパラメータの詳細については、AWS Config で記録するリソースの選択を参照してください。

  5. [Amazon S3 バケット] で、AWS Config から設定履歴と設定スナップショットファイルを送信する先の Amazon S3 バケットを選択します。

    • [新しいバケットの作成] – [バケット名] に Amazon S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しない、一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細は、Amazon Simple Storage Service 開発者ガイドの「Bucket Restrictions and Limitations」を参照してください。

    • [Choose a bucket from your account (アカウントからバケットを選択)] – [バケット名] で目的のバケットを選択します。

    • [別のアカウントからバケットを選択] – [バケット名] にバケット名を入力します。

      別のアカウントのバケットを選択する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon S3 バケットへのアクセス許可」を参照してください。

  6. [Amazon SNS Topic (SNS トピック)] で、[Stream configuration changes and notifications to an &SNS; topic (設定の変更と通知を SNS トピックにストリーミングする)] を選択して AWS Config から情報をストリーミングするかどうかを指定します。AWS Config は、設定履歴の配信、設定スナップショットの配信、コンプライアンスなどの通知を送信します。

  7. AWS Config から Amazon SNS トピックにストリーミングすることを選択した場合は、ストリーミング先のトピックを選択します。

    • [新しい トピックの作成] – [トピック名] に SNS トピックの名前を入力します。

    • [アカウントからトピックを選択] – [トピック名] で目的のトピックを選択します。

    • [別のアカウントからトピックを選択] – [トピック ARN] にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントのトピックを選択する場合、そのトピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNS トピックのアクセス許可」を参照してください。

    注記

    Amazon SNS トピックのリージョンは、AWS Config を設定したリージョンと同じであることが必要です。

  8. [&CC; ロール] で、設定情報を記録して Amazon S3 および Amazon SNS に送信するアクセス許可を AWS Config に付与する IAM ルールを選択します。

    • [Create a role (ロールの作成)] – AWS Config は、必要なアクセス許可を持つロールを作成します。[Role name (ロール名)] で AWS Config が作成する名前をカスタマイズできます。

    • [Choose a role from your account (アカウントからロールを選択)] – [Role name (ロール名)] でアカウントの IAM ロールを選択します。AWS Config が必要なポリシーをアタッチします。詳細については、「AWS Config に割り当てられた IAM ロールのアクセス許可」を参照してください。

      注記

      IAM ロールをそのまま使用する場合は、チェックボックスをオンにします。AWS Config はそのロールに対してはポリシーをアタッチしません。

  9. ルールをサポートするリージョンで AWS Config を設定している場合は、[次へ] を選択します。「コンソールによる AWS Config ルールの設定」を参照してください。

    問題がなければ、[保存] を選択します。&CC; に [Resource inventory (リソースインベントリ)] ページが表示されます。

アカウント内の既存のリソースを検索する方法とリソースの設定の説明については、「AWS リソースの表示と管理を始めましょう」を参照してください。

Amazon Simple Queue Service を使用して、プログラムで AWS リソースをモニタリングすることもできます。詳細については、「Amazon SQS を使用した AWS リソースの変更のモニタリング」を参照してください。