AWS Config
開発者ガイド

AWS Config で記録するリソースの選択

AWS Config は、サポートされているタイプのリソースの作成、変更、または削除を継続的に検出します。AWS Config では、これらのイベントを設定項目として記録します。すべてのサポートされているタイプのリソースの変更を記録するように、またはユーザーに関連するタイプのみの変更を記録するように、AWS Config をカスタマイズできます。AWS Config で記録できるリソースのタイプについては、「AWS Config でサポートされている AWS リソースタイプとリソース関係」を参照してください。

すべてのサポートされているリソースタイプの記録

デフォルトでは、AWS Config が実行されているリージョンで検出したすべてのサポートされているタイプのリージョナルリソース の設定変更が AWS Config で記録されます。リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。リージョナルリソースの例は EC2 インスタンスと EBS ボリュームです。

AWS Config でサポートされているタイプのグローバルリソースを記録することもできます。グローバルリソースは、特定のリージョンに結び付けられていないため、すべてのリージョンで使用できます。AWS Config でサポートしているグローバルリソースタイプは、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーです。

重要

特定のグローバルリソースの設定詳細はすべてのリージョンで共通です。複数のリージョンでグローバルリソースを記録するように AWS Config をカスタマイズすると、グローバルリソースが変更されるたびに、AWS Config で複数の設定項目 (リージョンごとに 1 つの設定項目) が作成されます。これらの設定項目の内容は同じです。設定項目の重複を防ぐには、複数のリージョンで設定項目を利用する場合を除いて、1 つのリージョンでのみグローバルリソースを記録するように AWS Config をカスタマイズする必要があります。

特定のリソースタイプの記録

一部のサポートされているリソースの変更を AWS Config で記録しない場合は、特定のタイプのみの変更を記録するようにカスタマイズできます。AWS Config は、指定されたリソースタイプについてリソースの作成や削除などの設定変更を記録します。

リソースが記録されない場合、AWS Config は無料でそのリソースの作成と削除のみを取り込み、他の詳細を取り込みません。記録対象外のリソースが作成または削除されると、AWS Config は通知を送信するとともに、イベントをリソースの詳細ページに表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

記録対象のリソースについて AWS Config が提供する関係情報は、記録対象外のリソースのデータが不足しているという理由で制限されることはありません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。

AWS Config によるリソースタイプの記録はいつでも停止できます。AWS Config によるリソースの記録が停止しても、それまでに取り込まれた設定情報は保持されるため、この情報に引き続きアクセスできます。

AWS Config ルールを使用して、AWS Config で記録するリソースのみのコンプライアンスを評価できます。

リソースの選択 (コンソール)

AWS Config コンソールを使用して AWS Config で記録するリソースのタイプを選択できます。

リソースを選択するには

  1. AWS マネジメントコンソール にサインインして AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. [Settings (設定)] ページを開きます。

    • AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、ナビゲーションペインの [Settings (設定)] を選択します。サポートされているリージョンのリストについては、『アマゾン ウェブ サービス全般のリファレンス』の「AWS Config のリージョンとエンドポイント」を参照してください。

    • それ以外の場合は、[リソースのインベントリ] ページの設定アイコン ( 
            settings icon
          ) を選択します。

  3. [Resource types to record (記録するリソースタイプ)] セクションで、AWS Config で記録する AWS リソースのタイプを指定します。

    • [All resources (すべてのリソース)] – AWS Config はすべてのサポートされているリソースを記録します。以下のオプションがあります。

      • [Record all resources supported in this region (このリージョンではサポートされているすべてのリソースを記録します)] – AWS Config はすべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

      • [Include global resources (グローバルリソースを含める)] – AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

    • [Specific types (特定のタイプ)] – AWS Config は、指定されたタイプの AWS リソースのみの設定変更を記録します。

  4. 変更を保存します。

    • AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、[保存] を選択します。

    • それ以外の場合は、[続行] を選択します。[AWS Config はリソースの設定を読み取るためのアクセス許可を要求しています] ページで [許可] を選択します。

リソースの選択 (AWS CLI)

AWS CLI を使用して AWS Config で記録するリソースのタイプを選択できます。これを行うには、設定レコーダーを作成します。設定レコーダーは、記録グループ内の指定されたタイプのリソースを記録します。記録グループ内で、すべてのサポートされているタイプのリソースを記録するか、特定のタイプのリソースを記録するかを指定します。

すべてのサポートされているリソースを選択するには

  1. 次の put-configuration-recorder コマンドを使用します。

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

    このコマンドでは、--recording-group パラメータで以下のオプションを使用します。

    • allSupported=true – AWS Config は、すべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

    • includeGlobalResourceTypes=true – AWS Config は、記録対象のリソースに、サポートされているタイプのグローバルリソースを含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

      このオプションを true に設定する前に、allSupported オプションを true に設定する必要があります。

      グローバルリソースを含めない場合は、このオプションを false に設定するか、このオプション自体を省略します。

  2. (オプション) 設定レコーダーが目的の設定になっていることを確認するには、次の describe-configuration-recorders コマンドを使用します。

    $ aws configservice describe-configuration-recorders

    以下に、応答の例を示します。

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }

特定のタイプのリソースを選択するには

  1. aws configserviceput-configuration-recorder コマンドを使用して、1 つ以上のリソースタイプを --recording-group オプションで渡します。次に例を示します。

    $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

    recordingGroup.json ファイルは、AWS Config で記録するリソースのタイプを指定します。

    { "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }

    resourceTypes キーのリソースタイプを指定する前に、allSupported オプションおよび includeGlobalResourceTypes オプションを false に設定するか、オプション自体を省略する必要があります。

  2. (オプション) 設定レコーダーが目的の設定になっていることを確認するには、次の describe-configuration-recorders コマンドを使用します。

    $ aws configservice describe-configuration-recorders

    以下に、応答の例を示します。

    { "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }