の手動セットアップ AWS Config - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の手動セットアップ AWS Config

開始ワークフローでは、セットアッププロセスの手動選択をすべて確認して、 AWS Config コンソールの使用を開始できます。簡単な開始プロセスについては、「ワンクリックセットアップ」を参照してください。

Get Start を使用してコンソール AWS Config で を設定するには
  1. にサインイン AWS Management Console し、 で AWS Config コンソールを開きますhttps://console.aws.amazon.com/config/

  2. [開始する] を選択します。

セットアップページには 3 つのステップがあります。以下に、[Get started] (使用開始) を選択した後の手順の内訳を示します。

  • 設定 : AWS Config コンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。

  • ルール : AWS リージョン そのサポート AWS Config ルールでは、このステップを使用して、アカウントに追加できる初期管理ルールを設定できます。設定後、 AWS Config は選択したルールに照らして AWS リソースを評価します。追加のルールを作成したり、既存のルールを更新したり、設定後にアカウントで更新できます。

  • 確認: セットアップの詳細を確認します。

ステップ 1: 設定

記録方法

[記録方法] セクションで、記録方法を選択します。 AWS Config 記録する AWS リソースを指定できます。

All resource types with customizable overrides

このリージョンで現在および将来サポートされているすべてのリソースタイプの設定変更を記録する AWS Config ように を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[サポートされるリソースタイプ] を参照してください。

  • デフォルト設定

    現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「Recording Frequency」を参照してください。

    • 継続的記録 – AWS Config 変更が発生するたびに、設定の変更を継続的に記録します。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Manager は、リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

  • 上書き設定

    特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

Specific resource types

指定したリソースタイプのみの設定変更を記録する AWS Config ように を設定します。

  • 特定のリソースタイプ

    記録するリソースタイプとその頻度を選択します。詳細については、「Recording Frequency」を参照してください。

    • 継続的記録 – AWS Config 変更が発生するたびに、設定の変更を継続的に記録します。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Manager は、リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

リソースを記録する際の考慮事項

AWS Config 評価の数が多い

AWS Config での最初の月の記録中に、後月と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、記録 AWS Config するために選択したアカウント内のすべてのリソースの評価 AWS Config を実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、 AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を回避したい場合は、これらのリソースタイプが記録されないように設定レコーダーをセットアップするか、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行して、設定記録とルール評価の増加を回避できます。

Considerations: All resource types with customizable overrides

グローバルに記録するリソースタイプ | Aurora グローバルクラスターは、最初は記録に含められます

AWS::RDS::GlobalCluster リソースタイプは、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されます。

有効なすべてのリージョンAWS::RDS::GlobalClusterで記録しない場合は、「」を選択します。AWS RDS GlobalCluster「」を選択し、上書き「録画から除外する」を選択します。

グローバルリソースタイプ | IAMリソースタイプは最初は記録から除外されます

グローバルIAMリソースタイプは、コスト削減に役立つように、最初は記録から除外されます。このバンドルには、IAMユーザー、グループ、ロール、カスタマー管理ポリシーが含まれます。[削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。

さらに、グローバルIAMリソースタイプ (AWS::IAM::User、、AWS::IAM::Role、および AWS::IAM::Policy) は、2022 年 2 AWS::IAM::Group月 AWS Config 以降に がサポートするリージョンには記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

制限

最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。

次のリソースタイプに日次記録はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

利用可能なリージョン

追跡 AWS Config する のリソースタイプを指定する前に、Resource Coverage by Region Availability をチェックして、リソースタイプが を設定した AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合、 をセットアップしたリージョンで指定されたリソースタイプがサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

制限

すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。

次のリソースタイプに日次頻度はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

データガバナンス

  • データ保持期間 では、デフォルトの保持期間を選択して 7 年間 (2557) AWS Config データを保持するか、 によって記録された項目のカスタム保持期間を設定します AWS Config。

    AWS Config では、 の保持期間を指定してデータを削除できますConfigurationItems。保持期間を指定すると、 はその指定された期間 ConfigurationItems AWS Config を保持します。最小 30 日から最大 7 年 (2557 日) の期間を選択できます。 は、指定した保持期間より古いデータ AWS Config を削除します。

  • IAM のロール AWS Configについては、既存の AWS Config サービスにリンクされたロールまたはアカウントからIAMロールを選択します。

    • サービスにリンクされたロールは によって事前定義 AWS Config され、他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。

      注記

      推奨: サービスにリンクされたロールを使用する

      サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、 が期待どおりに実行 AWS Config するために必要なすべてのアクセス許可を追加します。

    • それ以外の場合は、既存のIAMロールとアクセス許可ポリシーのいずれかからロールを選択します。

      注記

      AWS Organizations Can Prevent Acceses の認証ポリシー

      既存のIAMロールを使用する場合は、 AWS Organizations がリソースを記録するアクセス許可を AWS Config に付与できないようにするための承認ポリシーがないことを確認してください。の承認ポリシーの詳細については AWS Organizations、 AWS Organizations ユーザーガイド「 でのポリシーの管理 AWS Organizations」を参照してください。

      IAMロールを再利用するときの最小許容量を維持する

      AWS Security Hub や AWS Configなどの を使用する AWS サービスを使用し AWS Control Tower、IAMロールがすでに作成されている場合は、セットアップ時に使用するIAMロールが既存のIAMロールと同じ最小アクセス許可 AWS Config を保持していることを確認してください。他の AWS サービスが期待どおりに実行されるようにするには、これを行う必要があります。

      例えば、 AWS Control Tower に S3 オブジェクト AWS Config の読み取りを許可するIAMロールがある場合は、 の設定時に使用するIAMロールに同じアクセス許可が付与されていることを確認してください AWS Config。そうしないと、 AWS Control Tower の動作が妨げられる可能性があります。

配信方法

  • [Delivery method] (配信方法) では、 AWS Config から設定履歴と設定スナップショットのファイルを送信する先の S3 バケットを選択します。

    • [Create a bucket] (バケットの作成) — [S3 bucket name] (S3 バケット名) に S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの制約と制限」を参照してください。

    • [Choose a bucket from your account] (アカウントからバケットを選択) – [S3 bucket name] (S3 バケット名) で目的のバケットを選択します。

    • [Choose a bucket from another account] (別のアカウントからバケットを選択) — [S3 bucket name] (S3 バケット名) にバケット名を入力します。

      注記

      バケットのアクセス許可

      別のアカウントからバケットを選択した場合、そのバケットには へのアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可」を参照してください。

  • Amazon SNSトピック では、ストリーム設定の変更と通知を Amazon SNSトピックに選択して、設定履歴配信、設定スナップショット配信、コンプライアンスなどの通知 AWS Config を送信します。

  • Amazon SNSトピックへの AWS Config ストリームを選択した場合は、ターゲットトピックを選択します。

    • トピックの作成トピック名 には、SNSトピックの名前を入力します。

    • [Choose a topic from your account] (アカウントからトピックを選択) — [Topic Name] (トピック名) で目的のトピックを選択します。

    • 別のアカウントからトピックを選択するトピック にはARN、トピックの Amazon リソースネーム (ARN) を入力します。別のアカウントからトピックを選択した場合、トピックには へのアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「Amazon SNSトピックのアクセス許可」を参照してください。

      注記

      Amazon SNS トピックのリージョン

      Amazon SNSトピックは、 をセットアップするリージョンと同じリージョンに存在する必要があります AWS Config。

ステップ 2: ルール

ルールをサポートするリージョン AWS Config で を設定する場合は、次へ を選択します。

ステップ 3: 確認

AWS Config セットアップの詳細を確認します。戻って各セクションの変更を編集できます。確認 を選択して、 のセットアップを完了します AWS Config。

詳細情報

アカウント内の既存のリソースの検索とリソースの設定の理解については、「リソースの検索」、「コンプライアンス情報の表示」、「コンプライアンス履歴の表示」を参照してください。

Amazon Simple Queue Service を使用して AWS 、リソースをプログラムでモニタリングすることもできます。詳細については、「Amazon SQS による AWS リソース変更のモニタリング」を参照してください。