AWS Config 仕組み

有効にすると AWS Config、 AWS まずアカウントに存在するサポート対象リソースを検出し、各リソースの構成項目を生成します。

AWS Config また、リソースの設定が変更されると設定項目が生成され、設定レコーダーを起動した時点からのリソースの設定項目の履歴記録が保持されます。デフォルトでは、 AWS Config リージョン内のサポートされているすべてのリソースに設定項目を作成します。 AWS Config サポートされているすべてのリソースの構成項目を作成したくない場合は、追跡するリソースタイプを指定できます。

AWS Config 追跡するリソースタイプを指定する前に、「利用可能地域別のリソース範囲」をチェックして、 AWS AWS Config設定するリージョンでそのリソースタイプがサポートされているかどうかを確認してください。1 AWS Config つ以上のリージョンでリソースタイプがサポートされている場合は、指定したリソースタイプが設定先のリージョンでサポートされていない場合でも AWS Config、 AWS そのリソースタイプをサポートしているすべてのリージョンでそのリソースタイプを記録できます AWS Config。

AWS Config アカウント内の各リソースの Describe または List API 呼び出しを呼び出して、リソースに加えられたすべての変更を記録します。このサービスでは、その同じ API コールを使用して、すべての関連リソースの設定詳細をキャプチャします。

たとえば、VPC セキュリティグループからエグレスルールを削除すると AWS Config 、そのセキュリティグループで Describe API 呼び出しが呼び出されます。 AWS Config 次に、セキュリティグループに関連付けられているすべてのインスタンスで Describe API 呼び出しを呼び出します。セキュリティグループ (リソース) と各インスタンス (関連リソース) の更新された設定が設定項目として記録され、設定のストリーミングで Amazon Simple Storage Service (Amazon S3) バケットに配信されます。

AWS Config API によって開始されたものではない設定変更も追跡します。 AWS Config リソース設定を定期的に調べ、変更された設定の設定項目を生成します。

AWS Config ルールを使用している場合は、 AWS Config AWS リソース構成を継続的に評価して必要な設定になっているかを確認します。ルールに応じて、設定の変更に応じて、 AWS Config または定期的にリソースを評価します。各ルールは、ルールの評価ロジックが含まれている AWS Lambda 関数に関連付けられます。 AWS Config がリソースを評価すると、ルールの関数が呼び出されます。 AWS Lambda この関数は、評価されたリソースのコンプライアンスステータスを返します。リソースがルールの条件に違反している場合、 AWS Config リソースとルールに非準拠のフラグを付けます。リソースのコンプライアンスステータスが変化すると、Amazon SNS AWS Config トピックに通知が送信されます。以下の画像は、 AWS Config 仕組みの概要を示しています。

注記

最新の設定変更を確認できない

AWS Config 通常、変更が検出された直後、または指定した頻度で、リソースの設定変更を記録します。ただし、これはベストエフォート方式であり、場合によってはさらに時間がかかることがあります。しばらくしても問題が解決しない場合は、AWS Support AWS Config Amazonがサポートしているメトリックスを提供してください。 CloudWatchこれらのメトリックスについて詳しくは、「AWS Config 使用状況と成功のメトリクス」を参照してください。

設定項目の配信

AWS Config 構成項目は、以下のいずれかのチャネルを通じて配信できます。

Amazon S3 バケット

AWS Config AWS リソースの設定の変更を追跡し、更新された設定の詳細を指定した Amazon S3 バケットに定期的に送信します。 AWS Config 記録するリソースタイプごとに、6 時間ごとに設定履歴ファイルが送信されます。各設定履歴ファイルには、その 6 時間の間に変更があったリソースの詳細が含まれています。各ファイルに含まれるリソースタイプは 1 つです (Amazon EC2 インスタンスや Amazon EBS ボリュームなど)。設定が変更されない場合、 AWS Config はファイルを送信しません。

AWS Config AWS CLI deliver-config-snapshotでコマンドを使用するか、 AWS Config API DeliverConfigSnapshotでアクションを使用するときに、設定スナップショットを Amazon S3 バケットに送信します。設定スナップショットには、 AWS Config AWS アカウントに記録されるすべてのリソースの設定の詳細が含まれます。設定履歴ファイルと設定スナップショットは JSON 形式です。

注記

AWS Config 設定履歴ファイルと設定スナップショットを指定された S3 バケットにのみ配信し、S3 AWS Config バケット内のオブジェクトのライフサイクルポリシーを変更しません。ライフサイクルポリシーを使用して、オブジェクトを削除するか、Amazon S3 Glacier にアーカイブするかを指定できます。詳細については、Amazon Simple Storage Service Console ユーザーガイド中のライフサイクル設定の管理を参照してください。ブログ投稿の Amazon S3 データを S3 Glacier にアーカイブするも参照してください。

Amazon SNS トピック

Amazon Simple Notification Service (Amazon SNS) トピックは、E メールアドレスなどのサブスクライブしているエンドポイントやクライアントにメッセージ (または通知) を配信するために Amazon SNS で使用する通信チャネルです。その他の種類の Amazon SNS 通知として、携帯電話のアプリへのプッシュ通知メッセージ、SMS 対応の携帯電話やスマートフォンへのショートメッセージサービス (SMS) 通知、HTTP POST リクエストなどがあります。最適な結果を得るために、SNS トピックの通知エンドポイントとして Amazon SQS を使用し、通知内の情報をプログラムで処理します。

AWS Config 指定した Amazon SNS トピックを使用して通知を送信します。受信する通知の種類は、次の例に示すように、メッセージ本文の messageType キーの値で示されます。

"messageType": "ConfigurationHistoryDeliveryCompleted"

通知のメッセージタイプは、以下のいずれかです。

ComplianceChangeNotification

AWS Config 評価するリソースのコンプライアンスタイプが変更されました。コンプライアンスタイプは、 AWS Config リソースが特定のルールに準拠しているかどうかを示し、ComplianceTypeメッセージ内のキーで表されます。メッセージには、比較のために newEvaluationResult オブジェクトと oldEvaluationResult オブジェクトが含まれます。

ConfigRulesEvaluationStarted

AWS Config 指定されたリソースに対するルールの評価を開始しました。

ConfigurationSnapshotDeliveryStarted

AWS Config Amazon S3 バケットに設定スナップショットの配信を開始しました。Amazon S3 バケットの名前は、メッセージの s3Bucket キーで示されます。

ConfigurationSnapshotDeliveryCompleted

AWS Config 設定スナップショットが Amazon S3 バケットに正常に配信されました。

ConfigurationSnapshotDeliveryFailed

AWS Config Amazon S3 バケットに設定スナップショットを配信できませんでした。

ConfigurationHistoryDeliveryCompleted

AWS Config 設定履歴が Amazon S3 バケットに正常に配信されました。

ConfigurationItemChangeNotification

リソースが作成または削除されるか、設定が変更されました。このメッセージには、 AWS Config この変更のために作成された設定項目の詳細と、変更の種類が含まれています。これらの通知は、変更後数分以内に配信され、まとめて設定ストリームと呼ばれます。

OversizedConfigurationItemChangeNotification

このメッセージタイプは、設定項目の変更通知が Amazon SNS の最大許容サイズを超えた時に配信されます。メッセージには設定項目の概要が含まれます。SMS メッセージを除き、Amazon SNS メッセージには、XML、JSON、フォーマットされていないテキストなど、最大 256 KB のテキストデータを含めることができます。完全な通知の参照先は、指定した Amazon S3 バケット内にあります。

OversizedConfigurationItemChangeDeliveryFailed

AWS Config サイズ超過の設定項目変更通知を Amazon S3 バケットに配信できませんでした。

通知の例については、「AWS Config から Amazon SNS トピックに送信される通知」を参照してください。

Amazon SNS の詳細については、Amazon Simple Notification Service デベロッパーガイド を参照してください。