を使用した AWS リソースの記録 AWS Config

AWS Config は、サポートされているリソースタイプがいつ作成、変更、または削除されたかを継続的に検出します。 は、これらのイベントを設定項目 (CI) として AWS Config 記録します。 CIs

は、サポートされているすべてのリソースタイプ、または関連するサポートされているリソースタイプのみの設定変更を記録する AWS Config ようにカスタマイズできます。が記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してくださいでサポートされているリソースタイプ AWS Config。

トピック

• 考慮事項

• リージョンリソースとグローバルリソース

• AWS Config ルールとグローバルリソースタイプ

• 記録頻度

• 記録されていないリソース

• リソースの記録 (コンソール）

• リソースの記録 (AWS CLI)

• リソースの除外

• 記録の停止

考慮事項

AWS Config 評価数が多い

AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するように選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。

エフェメラルワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増加することがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。

一時的なワークロードの実行によるアクティビティの増加を回避する場合は、カスタマーマネージド設定レコーダーを設定してこれらのリソースタイプを記録から除外するか、 AWS Config をオフにした別のアカウントでこれらのタイプのワークロードを実行して、設定の記録とルール評価の増加を回避できます。

利用可能なリージョン

が追跡 AWS Config するリソースタイプを指定する前に、リージョン別のリソースカバレッジの可用性をチェックして、リソースタイプがセットアップした AWS リージョンでサポートされているかどうかを確認します AWS Config。

リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

リージョナルリソースとグローバルリソースの違い

リージョナルリソース

リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。指定した に作成し AWS リージョン、そのリージョンに存在します。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。例えば、 を使用して Amazon EC2 インスタンスを作成するには AWS Management Console、インスタンスを作成する を選択します AWS リージョン。 AWS Command Line Interface （AWS CLI) を使用してインスタンスを作成する場合は、 --regionパラメータを含めます。 AWS SDKs はそれぞれ、オペレーションが使用するリージョンを指定するための独自の同等のメカニズムを持っています。

リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。

AWS リージョン コンソールまたは AWS CLI コマンドで別の を指定した場合、前のリージョンで表示されていたリソースを表示したり操作したりできなくなります。

リージョナルリソースの Amazon リソースネーム (ARN) を表示すると、そのリソースを含むリージョンが ARN の 4 番目のフィールドとして指定されています。例えば、Amazon EC2 インスタンスはリージョナルリソースです。以下に示しているのは、us-east-1 リージョンに存在する Amazon EC2 インスタンス用の ARN の例です。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

グローバルリソース

一部の AWS サービスリソースはグローバルリソースです。つまり、どこからでもリソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用するときに--regionパラメータを指定しません。

グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。

例えば、Amazon Aurora グローバルクラスター (AWS::RDS::GlobalCluster) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。Amazon Relational Database Service (Amazon RDS) 自体はリージョンごとに構成されている一方で、グローバルクラスターを生成した特定のリージョンによってグローバルクラスターに影響を与えないという利点があります。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。

グローバルリソースの Amazon リソースネーム (ARN) には、リージョンは含まれません。以下のグローバルクラスターの ARN の例のように、4 番目のフィールドは空です。

arn:aws:rds::123456789012:global-cluster:test-global-cluster

重要

2022 年 2 月 AWS Config 以降に にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、 GovCloud パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらの新しいグローバルリソースタイプの設定項目 (CIs) は、ホームリージョンと AWS GovCloud (米国西部) でのみ表示できます。

2022 年 2 月より前にオンボードされたグローバルリソースタイプ (AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、および AWS::IAM::User) は変更されません。2022 年 2 月より前に AWS Config がサポートされているすべてのリージョンで、これらのグローバル IAM リソースの記録を有効にできます。これらのグローバル IAM リソースは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。

グローバルリソースタイプ | IAM リソース

IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーの IAM リソースタイプはグローバルリソースです。これらのリソースタイプは、 が 2022 年 2 月より前に利用可能 AWS Config であったリージョンで、 によって AWS Config 記録できます。グローバル IAM リソースタイプを記録できないこのリストには、アジアパシフィック (ハイデラバード）、アジアパシフィック (マレーシア）、アジアパシフィック (メルボルン）、アジアパシフィック (タイ）、カナダ西部 (カルガリー）、欧州 (スペイン）、欧州 (チューリッヒ）、イスラエル (テルアビブ）、メキシコ (中部）、中東 (アラブ首長国連邦) の各リージョンが含まれます。

設定項目 (CI) の重複を防ぐために、サポートされる 1 つのリージョンで一度にグローバル IAM リソースを記録することだけを考慮する必要があります。また、不必要な評価や API スロットリングを回避するのにも役立ちます。

グローバルリソースタイプ | ホームリージョンのみ

次のサービスのグローバルリソースは、グローバルリソースタイプの AWS Config ホームリージョンの によってのみ記録されます: Amazon Elastic Container Registry Public、 AWS Global Accelerator、Amazon Route 53、Amazon CloudFront、および AWS WAF。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できますが、設定項目 (CIs) は商用パーティションのホームリージョンまたは AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) にのみ記録されます。

グローバルリソースタイプのホームリージョン

AWS サービス	リソースタイプの値	ホームリージョン
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	米国東部 (バージニア北部) リージョン
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	米国西部 (オレゴン) リージョン
	AWS::GlobalAccelerator::EndpointGroup	米国西部 (オレゴン) リージョン
	AWS::GlobalAccelerator::Accelerator	米国西部 (オレゴン) リージョン
Amazon Route 53	AWS::Route53::HostedZone	米国東部 (バージニア北部) リージョン
	AWS::Route53::HealthCheck	米国東部 (バージニア北部) リージョン
Amazon CloudFront	AWS::CloudFront::Distribution	米国東部 (バージニア北部) リージョン
AWS WAF	AWS::WAFv2::WebACL	米国東部 (バージニア北部) リージョン

グローバルリソースタイプ | Aurora グローバルクラスター

AWS::RDS::GlobalCluster は、カスタマーマネージド設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンで記録されるグローバルリソースです。このグローバルリソースタイプは、1 つのリージョンでこのリソースの記録を有効にした場合、 AWS Config は、有効なすべてのリージョンでこのリソースタイプの設定項目 (CIs) を記録するという点で一意です。

有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合は、次のいずれかの AWS Config コンソールの記録方法を使用します。

• カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し、AWS 「RDS GlobalCluster」を選択し、オーバーライド「記録から除外」を選択します。

• [特定のリソースタイプを記録する]。

有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合、API/CLI に対して次のいずれかの記録方法を使用します。

• 除外を伴う、現在および将来のリソースタイプを記録する (EXCLUSION_BY_RESOURCE_TYPES)

• [特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config ルールとグローバルリソースタイプ

2022 年 2 月より前にオンボーディングされたグローバル IAM リソースタイプ (AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、および AWS::IAM::User) は、2022 年 2 月より前に が利用可能 AWS Config であったリージョンでのみ AWS Config によって記録できます。これらのグローバル IAM リソースタイプは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、「Recording AWS Resources | Global Resources」を参照してください。

少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。

2022 年 2 月より前のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックのみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「List of AWS Config Managed Rules by Region Availability」を参照してください。これは、 AWS Config ルール、組織 AWS Config ルール、および AWS Security Hub や などの他の AWS のサービスによって作成されたルールにも適用されます AWS Control Tower。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-check

• iam-user-mfa-enabled

• iam-user-unused-credentials-check

• mfa-enabled-for-iam-console-access

• root-account-hardware-mfa-enabled

• root-account-mfa-enabled

2022 年 2 月より後のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

2022 年 2 月より後に AWS Config 記録にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、 AWS GovCloud (US) パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックは、リソースタイプのホームリージョンにのみデプロイする必要があります。詳細については、「Home Regions for Global Resource Types」を参照してください。

の記録頻度 AWS Config

AWS Config は、継続的な記録と毎日の記録をサポートしています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。録画頻度を変更する手順については、「Changing Recording Frequency」を参照してください。

継続的な記録

継続的な記録のメリットには次が含まれます。

• リアルタイムモニタリング: 継続的な記録は、不正な変更や予期しない変更を即時に検出できるため、セキュリティとコンプライアンスへの取り組みを強化できます。

• 詳細な分析: 継続的な記録は、リソースへの設定変更が発生したときに詳細に分析できるため、その時点でのパターンや傾向を識別できます。

日次記録

日次記録のメリットには次が含まれます。

• 最小限の中断: 日次記録により、情報の流れを管理しやすくなるため、通知の頻度とアラートの疲労を軽減できます。

• コスト効率: 日次記録は、リソースへの変更をより低い頻度で柔軟に記録できるため、記録される設定変更の数に関連するコストを削減できます。

注記

AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

記録されていないリソース

リソースが記録されていない場合、 は、そのリソースの作成と削除のみ AWS Config を取得し、その他の詳細はキャプチャしません。記録されていないリソースが作成または削除されると、 は通知 AWS Config を送信し、リソースの詳細ページにイベントを表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

注記

AWS::IAM::User、AWS::IAM::Policy、 AWS::IAM::Group、 AWS::IAM::Roleリソースタイプは、リソースがカスタマーマネージド設定レコーダー に記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (ResourceNotRecorded) および削除 (ResourceDeletedNotRecorded) 状態をキャプチャします。

注記

ResourceNotRecorded および ResourceDeletedNotRecorded の設定項目 (CI) は、リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、カスタマーマネージド設定レコーダー の定期的なベースラインプロセス中にのみ記録されます。これは、他のリソースタイプよりも頻度が低くなります。

注記

サービスにリンクされた設定レコーダーの場合、記録スコープによって、配信チャネルで設定項目 (CIs) を受信するかどうかが決まります。記録スコープは、設定レコーダーにリンクされているサービスによって設定されます。録画スコープが内部の場合、配信チャネルで CIsを受信しません。

が記録済みリソース AWS Config に提供する関係情報は、記録されていないリソースのデータがないため、制限されません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。