コンソールによる AWS Config の設定 - AWS Config

コンソールによる AWS Config の設定

AWS マネジメントコンソール で AWS Config の使用を開始すると、以下の操作を実行できます。

  • AWS Config で記録するリソースタイプを指定する。

  • 設定変更を通知するように Amazon SNS を設定する。

  • 設定情報を受け取る Amazon S3 バケットを指定する。

  • AWS Config マネージドルールを追加してリソースタイプを評価する。

AWS Config を初めて使用する場合や、新しいリージョンで AWS Config を設定する場合は、マネージドルールを選択してリソースの設定を評価できます。AWS Config および AWS Config ルールをサポートしているリージョンについては、『アマゾン ウェブ サービス全般のリファレンス』「AWS Config のリージョンとエンドポイント」を参照してください。

コンソールで AWS Config を設定するには

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/config/ にある AWS Config コンソールを開きます。

  2. AWS Config コンソールを初めて開く場合や新しいリージョンで AWS Config を設定する場合、AWS Config コンソールページは次のように表示されます。

    サービスの概要を示す AWS Config の開始方法ページ

  3. [Get Started Now] を選択します。

  4. [設定] ページの [記録するリソースタイプ] で、AWS Config で記録するすべてのリソースタイプを指定します。リソースタイプは、AWS リソース、サードパーティーのリソース、またはカスタムリソースです。

    • [All resources (すべてのリソース)] – AWS Config はすべてのサポートされているリソースを記録します。以下のオプションがあります。

      • このリージョンでサポートされているすべてのリソースを記録します – AWS Config は、サポートされている AWS リソースタイプと AWS CloudFormation レジストリに登録されているサードパーティーのリソースタイプを記録します。 AWS Config は、新しくサポートされた AWS リソースタイプも自動的に記録を開始します。また、AWS CloudFormation によって管理されている (つまり、作成/更新/削除さた) サードパーティーのリソースタイプの記録も自動的に開始されます。

      • [Include global resources (グローバルリソースを含める)] – AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。AWS Config で新しいグローバルリソースタイプのサポートを追加すると、AWS Config では自動的にそのタイプのリソースの記録を開始します。

    • 特定の型 – AWS Config は指定されたリソースタイプについてのみ、設定の変更を記録します。

    これらのパラメータの詳細については、AWS Config で記録するリソースの選択を参照してください。

  5. [Amazon S3 バケット] で、AWS Config から設定履歴と設定スナップショットファイルを送信する先の Amazon S3 バケットを選択します。

    • [新しいバケットの作成] – [バケット名] に Amazon S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しない、一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細は、Amazon Simple Storage Service 開発者ガイドの「Bucket Restrictions and Limitations」を参照してください。

    • [Choose a bucket from your account (アカウントからバケットを選択)] – [バケット名] で目的のバケットを選択します。

    • [別のアカウントからバケットを選択] – [バケット名] にバケット名を入力します。

      別のアカウントのバケットを選択する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon S3 バケットへのアクセス許可」を参照してください。

  6. [Amazon SNS Topic (SNS トピック)] で、[Stream configuration changes and notifications to an &SNS; topic (設定の変更と通知を SNS トピックにストリーミングする)] を選択して AWS Config から情報をストリーミングするかどうかを指定します。AWS Config は、設定履歴の配信、設定スナップショットの配信、コンプライアンスなどの通知を送信します。

  7. AWS Config から Amazon SNS トピックにストリーミングすることを選択した場合は、ストリーミング先のトピックを選択します。

    • [新しい トピックの作成] – [トピック名] に SNS トピックの名前を入力します。

    • [アカウントからトピックを選択] – [トピック名] で目的のトピックを選択します。

    • [別のアカウントからトピックを選択] – [トピック ARN] にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントのトピックを選択する場合、そのトピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNS トピックのアクセス許可」を参照してください。

    注記

    Amazon SNS トピックのリージョンは、AWS Config を設定したリージョンと同じであることが必要です。

  8. [&CC; ロール] で、設定情報を記録して Amazon S3 および Amazon SNS に送信するアクセス許可を AWS Config に付与する IAM ルールを選択します。

    • [Create a role (ロールの作成)] – AWS Config は、必要なアクセス許可を持つロールを作成します。[Role name (ロール名)] で AWS Config が作成する名前をカスタマイズできます。

    • [Choose a role from your account (アカウントからロールを選択)] – [Role name (ロール名)] でアカウントの IAM ロールを選択します。AWS Config が必要なポリシーをアタッチします。詳細については、「AWS Config に割り当てられた IAM ロールのアクセス許可」を参照してください。

      注記

      IAM ロールをそのまま使用する場合は、チェックボックスをオンにします。AWS Config はそのロールに対してはポリシーをアタッチしません。

  9. ルールをサポートするリージョンで AWS Config を設定している場合は、[次へ] を選択します。「コンソールによる AWS Config ルールの設定」を参照してください。

    問題がなければ、[保存] を選択します。&CC; に [Resource inventory (リソースインベントリ)] ページが表示されます。

アカウント内の既存のリソースを検索する方法とリソースの設定の説明については、「AWS リソースの表示と管理を始めましょう」を参照してください。

Amazon Simple Queue Service を使用して、プログラムで AWS リソースをモニタリングすることもできます。詳細については、「Amazon SQS を使用した AWS リソースの変更のモニタリング」を参照してください。