翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config の仕組み
AWS Config は、アカウント AWS 内の AWS リソースの設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
An AWS resource は AWS、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、 で操作できるエンティティです。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいでサポートされているリソースタイプ AWS Config。
リソース検出
有効にすると AWS Config、まずアカウントに存在するサポートされている AWS リソースを検出し、各リソースの設定項目を生成します。
AWS Config は、リソースの設定が変更されると設定項目も生成し、設定レコーダーを起動したときのリソースの設定項目の履歴レコードを保持します。デフォルトでは、 はリージョンでサポートされているすべてのリソースの設定項目 AWS Config を作成します。サポートされているすべてのリソースの設定項目 AWS Config を作成しない場合は、追跡するリソースタイプを指定できます。
が追跡 AWS Config するリソースタイプを指定する前に、リージョン可用性別のリソースカバレッジをチェックして、リソースタイプがセットアップしている AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしているリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
リソーストラッキング
AWS Config は、アカウント内の各リソースに対して Describe API コールまたは List API コールを呼び出すことで、リソースに対するすべての変更を追跡します。このサービスでは、その同じ API コールを使用して、すべての関連リソースの設定詳細をキャプチャします。
例えば、VPC セキュリティグループから Egress ルールを削除する AWS Config と、 はセキュリティグループで Describe API コールを呼び出します。 AWS Config 次に、 はセキュリティグループに関連付けられたすべてのインスタンスで Describe API コールを呼び出します。セキュリティグループ (リソース) と各インスタンス (関連リソース) の更新された設定が設定項目として記録され、設定のストリーミングで Amazon Simple Storage Service (Amazon S3) バケットに配信されます。
AWS Config は、API によって開始されなかった設定変更も追跡します。 AWS Config ex は、リソース設定を定期的に調べ、変更された設定の設定項目を生成します。
AWS Config ルールを使用している場合、 は必要な設定について AWS リソース設定 AWS Config を継続的に評価します。ルールに応じて、 AWS Config は設定の変更に応じて、または定期的にリソースを評価します。各ルールは、ルールの評価ロジックが含まれている AWS Lambda 関数に関連付けられます。がリソース AWS Config を評価すると、ルールの AWS Lambda 関数が呼び出されます。この関数は、評価されたリソースのコンプライアンスステータスを返します。リソースがルールの条件に違反した場合、 はリソースとルールを非準拠として AWS Config フラグ付けします。リソースのコンプライアンスステータスが変更されると、 は Amazon SNS トピックに通知 AWS Config を送信します。
設定項目の配信
AWS Config は、次のいずれかのチャネルを介して設定項目を配信できます。
Amazon S3 バケット
AWS Config は AWS リソースの設定の変更を追跡し、指定した Amazon S3 バケットに更新された設定の詳細を定期的に送信します。が AWS Config 記録するリソースタイプごとに、6 時間ごとに設定履歴ファイルを送信します。各設定履歴ファイルには、その 6 時間の間に変更があったリソースの詳細が含まれています。各ファイルに含まれるリソースタイプは 1 つです (Amazon EC2 インスタンスや Amazon EBS ボリュームなど)。設定の変更が行われない場合、 AWS Config はファイルを送信しません。
AWS Config CLI で deliver-config-snapshot コマンドを使用する場合、または AWS Config API で DeliverConfigSnapshot アクションを使用する場合、 AWS は Amazon S3 バケットに設定スナップショットを送信します。設定スナップショットには、 AWS アカウントで AWS Config が記録したすべてのリソースの設定詳細が含まれています。設定履歴ファイルと設定スナップショットは JSON 形式です。
注記
AWS Config は、設定履歴ファイルと設定スナップショットを指定された S3 AWS Config バケットにのみ配信します。S3 バケット内のオブジェクトのライフサイクルポリシーは変更しません。ライフサイクルポリシーを使用して、オブジェクトを削除するか、Amazon S3 Glacier にアーカイブするかを指定できます。詳細については、Amazon Simple Storage Service Console ユーザーガイド中のライフサイクル設定の管理を参照してください。ブログ投稿の Amazon S3 データを S3 Glacier にアーカイブする
Amazon SNS トピック
Amazon Simple Notification Service (Amazon SNS) トピックは、E メールアドレスなどのサブスクライブしているエンドポイントやクライアントにメッセージ (または通知) を配信するために Amazon SNS で使用する通信チャネルです。その他の種類の Amazon SNS 通知として、携帯電話のアプリへのプッシュ通知メッセージ、SMS 対応の携帯電話やスマートフォンへのショートメッセージサービス (SMS) 通知、HTTP POST リクエストなどがあります。最適な結果を得るために、SNS トピックの通知エンドポイントとして Amazon SQS を使用し、通知内の情報をプログラムで処理します。
AWS Config は、指定した Amazon SNS トピックを使用して通知を送信します。受信する通知の種類は、次の例に示すように、メッセージ本文の messageType キーの値で示されます。
"messageType": "ConfigurationHistoryDeliveryCompleted"
通知のメッセージタイプは、以下のいずれかです。
| メッセージタイプ | 説明 |
|---|---|
| ComplianceChangeNotification | が AWS Config 評価するリソースのコンプライアンスタイプが変更されました。コンプライアンスタイプは、リソースが特定の AWS Config ルールに準拠しているかどうかを示し、メッセージ内の ComplianceType キーで表されます。メッセージには、比較のために newEvaluationResult オブジェクトと oldEvaluationResult オブジェクトが含まれます。 |
| ConfigRulesEvaluationStarted | AWS Config は、指定されたリソースに対するルールの評価を開始しました。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config は、Amazon S3 バケットへの設定スナップショットの配信を開始しました。Amazon S3 バケットの名前は、メッセージの s3Bucket キーで示されます。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config は、設定スナップショットを Amazon S3 バケットに正常に配信しました。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config は、Amazon S3 バケットに設定スナップショットを配信できませんでした。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config は、設定履歴を Amazon S3 バケットに正常に配信しました。 |
| ConfigurationItemChangeNotification | リソースが作成または削除されるか、設定が変更されました。このメッセージには、 がこの変更用に AWS Config 作成する設定項目の詳細と、変更のタイプが含まれます。これらの通知は、変更後数分以内に配信され、まとめて設定ストリームと呼ばれます。 |
| OversizedConfigurationItemChangeNotification | このメッセージタイプは、設定項目の変更通知が Amazon SNS の最大許容サイズを超えた時に配信されます。メッセージには設定項目の概要が含まれます。SMS メッセージを除き、Amazon SNS メッセージには、XML、JSON、フォーマットされていないテキストなど、最大 256 KB のテキストデータを含めることができます。完全な通知の参照先は、指定した Amazon S3 バケット内にあります。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config は、サイズが大きすぎる設定項目の変更通知を Amazon S3 バケットに配信できませんでした。 |
通知の例については、「が Amazon SNS トピック AWS Config に送信する通知」を参照してください。Amazon SNS の詳細については、Amazon Simple Notification Service デベロッパーガイド を参照してください。
注記
最新の設定変更が表示されないのはなぜですか?
AWS Config 通常、 は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がしばらく経っても解決しない場合は、 サポート
へのアクセスを制御する AWS Config
AWS Identity and Access Management は、Amazon Web Services (AWS) のお客様がユーザーとユーザーのアクセス許可を管理できるようにするウェブサービスです。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については「IAM ユーザーガイド」の「IAM ユーザーのロールの作成」を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。
-
