翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の手動セットアップ AWS Config
開始ワークフローでは、セットアッププロセスの手動選択をすべて確認して、 AWS Config コンソールの使用を開始できます。簡単な開始プロセスについては、「ワンクリックセットアップ」を参照してください。
Get Start を使用してコンソール AWS Config で を設定するには
にサインイン AWS Management Console し、 で AWS Config コンソールを開きますhttps://console.aws.amazon.com/config/
。 -
[開始する] を選択します。
セットアップページには 3 つのステップがあります。以下に、[Get started] (使用開始) を選択した後の手順の内訳を示します。
-
設定 : AWS Config コンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。
-
ルール : AWS リージョン そのサポート AWS Config ルールでは、このステップを使用して、アカウントに追加できる初期管理ルールを設定できます。設定後、 AWS Config は選択したルールに照らして AWS リソースを評価します。追加のルールを作成したり、既存のルールを更新したり、設定後にアカウントで更新できます。
-
確認: セットアップの詳細を確認します。
ステップ 1: 設定
記録方法
[記録方法] セクションで、記録方法を選択します。 AWS Config 記録する AWS リソースを指定できます。
リソースを記録する際の考慮事項
AWS Config 評価の数が多い
AWS Config での最初の月の記録中に、後月と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、記録 AWS Config するために選択したアカウント内のすべてのリソースの評価 AWS Config を実行します。
一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、 AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を回避したい場合は、これらのリソースタイプが記録されないように設定レコーダーをセットアップするか、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行して、設定記録とルール評価の増加を回避できます。
データガバナンス
データ保持期間 では、デフォルトの保持期間を選択して 7 年間 (2557) AWS Config データを保持するか、 によって記録された項目のカスタム保持期間を設定します AWS Config。
AWS Config では、 の保持期間を指定してデータを削除できます
ConfigurationItems
。保持期間を指定すると、 はその指定された期間ConfigurationItems
AWS Config を保持します。最小 30 日から最大 7 年 (2557 日) の期間を選択できます。 は、指定した保持期間より古いデータ AWS Config を削除します。-
IAM のロール AWS Configについては、既存の AWS Config サービスにリンクされたロールまたはアカウントからIAMロールを選択します。
-
サービスにリンクされたロールは によって事前定義 AWS Config され、他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。
注記
推奨: サービスにリンクされたロールを使用する
サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、 が期待どおりに実行 AWS Config するために必要なすべてのアクセス許可を追加します。
それ以外の場合は、既存のIAMロールとアクセス許可ポリシーのいずれかからロールを選択します。
注記
AWS Organizations Can Prevent Acceses の認証ポリシー
既存のIAMロールを使用する場合は、 AWS Organizations がリソースを記録するアクセス許可を AWS Config に付与できないようにするための承認ポリシーがないことを確認してください。の承認ポリシーの詳細については AWS Organizations、 AWS Organizations ユーザーガイドの「 でのポリシーの管理 AWS Organizations」を参照してください。
IAMロールを再利用するときの最小許容量を維持する
AWS Security Hub や AWS Configなどの を使用する AWS サービスを使用し AWS Control Tower、IAMロールがすでに作成されている場合は、セットアップ時に使用するIAMロールが既存のIAMロールと同じ最小アクセス許可 AWS Config を保持していることを確認してください。他の AWS サービスが期待どおりに実行されるようにするには、これを行う必要があります。
例えば、 AWS Control Tower に S3 オブジェクト AWS Config の読み取りを許可するIAMロールがある場合は、 の設定時に使用するIAMロールに同じアクセス許可が付与されていることを確認してください AWS Config。そうしないと、 AWS Control Tower の動作が妨げられる可能性があります。
-
配信方法
-
[Delivery method] (配信方法) では、 AWS Config から設定履歴と設定スナップショットのファイルを送信する先の S3 バケットを選択します。
-
[Create a bucket] (バケットの作成) — [S3 bucket name] (S3 バケット名) に S3 バケットの名前を入力します。
Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの制約と制限」を参照してください。
-
[Choose a bucket from your account] (アカウントからバケットを選択) – [S3 bucket name] (S3 バケット名) で目的のバケットを選択します。
-
[Choose a bucket from another account] (別のアカウントからバケットを選択) — [S3 bucket name] (S3 バケット名) にバケット名を入力します。
注記
バケットのアクセス許可
別のアカウントからバケットを選択した場合、そのバケットには へのアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可」を参照してください。
-
-
Amazon SNSトピック では、ストリーム設定の変更と通知を Amazon SNSトピックに選択して、設定履歴配信、設定スナップショット配信、コンプライアンスなどの通知 AWS Config を送信します。
-
Amazon SNSトピックへの AWS Config ストリームを選択した場合は、ターゲットトピックを選択します。
-
トピックの作成 – トピック名 には、SNSトピックの名前を入力します。
-
[Choose a topic from your account] (アカウントからトピックを選択) — [Topic Name] (トピック名) で目的のトピックを選択します。
-
別のアカウントからトピックを選択する – トピック にはARN、トピックの Amazon リソースネーム (ARN) を入力します。別のアカウントからトピックを選択した場合、トピックには へのアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「Amazon SNSトピックのアクセス許可」を参照してください。
注記
Amazon SNS トピックのリージョン
Amazon SNSトピックは、 をセットアップするリージョンと同じリージョンに存在する必要があります AWS Config。
-
ステップ 2: ルール
ルールをサポートするリージョン AWS Config で を設定する場合は、次へ を選択します。
ステップ 3: 確認
AWS Config セットアップの詳細を確認します。戻って各セクションの変更を編集できます。確認 を選択して、 のセットアップを完了します AWS Config。
詳細情報
アカウント内の既存のリソースの検索とリソースの設定の理解については、「リソースの検索」、「コンプライアンス情報の表示」、「コンプライアンス履歴の表示」を参照してください。
Amazon Simple Queue Service を使用して AWS 、リソースをプログラムでモニタリングすることもできます。詳細については、「Amazon SQS による AWS リソース変更のモニタリング」を参照してください。