コンソールによる AWS Config の設定 - AWS Config

コンソールによる AWS Config の設定

AWS Management Console で AWS Config の使用を開始すると、以下の操作を実行できます。

  • AWS Config で記録するリソースタイプを指定する。

  • 設定変更を通知するように Amazon SNS を設定する。

  • 設定情報を受け取る Amazon S3 バケットを指定する。

  • AWS Config マネージドルールを追加してリソースタイプを評価する。

AWS Config を初めて使用する場合や、新しいリージョンで AWS Config を設定する場合は、マネージドルールを選択してリソースの設定を評価できます。AWS Config や AWS Config ルールがサポートされているリージョンのリストについては、Amazon Web Services 全般のリファレンスAWS Config リージョンとエンドポイントを参照してください。

コンソールで AWS Config を設定するには

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Config コンソールを初めて開く場合や新しいリージョンで AWS Config を設定する場合、AWS Config コンソールページは次のように表示されます。

    サービスの概要を示す AWS Config の開始方法ページ

  3. [1-click setup] (1-click セットアップ) を選択して、AWS ベストプラクティスに基づいて AWS Config を起動します。[Get started] (今すぐ始める) をクリックして、次のステップを自分で進めていくこともできます。

  4. 設定 ページの 記録するリソースタイプ で、AWS Config で記録するすべてのリソースタイプを指定します。リソースタイプは、AWS リソース、サードパーティーのリソース、またはカスタムリソースです。

    • このリージョンでサポートされているすべてのリソースを記録する

      • AWS Config では、サポートされる AWS リソースタイプと AWS CloudFormation レジストリに登録されるサードパーティーのリソースタイプの設定変更が記録されます。AWS Config では新たにサポートされる AWS リソースタイプの記録が自動的に開始されます。また、AWS Config では、サードパーティーのリソースとカスタムリソースタイプの記録も自動的に開始され、AWS CloudFormation で管理されます。

      • [Include global resources] (グローバルリソースを含める) をクリックして、サポートされているグローバルリソースタイプ (IAM リソースなど) を記録します。AWS Config では、新たにサポートされるグローバルリソースタイプの記録が自動的に開始されます。

    • 特定のリソースタイプを記録する

      • AWS Config では指定したリソースタイプの設定変更のみが記録されます。

    これらのパラメータの詳細については、「AWS Config で記録するリソースの選択」を参照してください。

  5. [AWS Config role] (CC ロール) では、既存の AWS Config サービスリンクロールを選択するか、アカウント ID を入力してアカウントからロールを選択します。サービスにリンクされたロールは、AWS Config によって事前に定義されたロールであり、サービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

  6. [Delivery method] (配信方法) では、AWS Config から設定履歴と設定スナップショットのファイルを送信する先の Amazon S3 バケットを選択します。

    • [Create a bucket] (バケットの作成) — [S3 bucket name] (S3 バケット名) に Amazon S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットの制約と制限」を参照してください。

    • [Choose a bucket from your account] (アカウントからバケットを選択) – [S3 bucket name] (S3 バケット名) で目的のバケットを選択します。

    • [Choose a bucket from another account] (別のアカウントからバケットを選択) — [S3 bucket name] (S3 バケット名) にバケット名を入力します。

      注記

      別のアカウントのバケットを選択する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon S3 バケットのアクセス許可」を参照してください。

  7. [Amazon SNS topic] (Amazon SNS トピック) で、[Stream configuration changes and notifications to an Amazon SNS topic] (Amazon SNS トピックへのストリーム設定の変更と通知) を選択して、設定履歴の配信、設定スナップショットの配信、コンプライアンスなどの通知を AWS Config から送信します。

  8. AWS Config ストリームから Amazon SNS トピックにストリーミングすることを選択した場合は、ターゲットのトピックを選択します。

    • [Create a topic] (トピックの作成) — [Topic Name] (トピック名) に SNS トピックの名前を入力します。

    • [Choose a topic from your account] (アカウントからトピックを選択) — [Topic Name] (トピック名) で目的のトピックを選択します。

    • [Choose a topic from another account] (別のアカウントからトピックを選択) – [Topic ARN] (トピック ARN) にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントのトピックを選択する場合、そのトピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNS トピックへのアクセス許可」を参照してください。

      注記

      Amazon SNS トピックのリージョンは、AWS Config を設定したリージョンと同じであることが必要です。

  9. ルールをサポートするリージョンで AWS Config を設定している場合は、次へ を選択します。「コンソールでの AWS Config ルールの使用」を参照してください。

    それ以外の場合は、[Confirm] (確認) をクリックします。

アカウント内の既存のリソースを検索する方法とリソースの設定の説明については、「AWS リソースの設定および履歴の表示」を参照してください。

また、Amazon Simple Queue Service を使用して、AWS リソースをプログラムでモニタリングすることもできます。詳細については、「Amazon SQS を使用した AWS リソースの変更のモニタリング」を参照してください。