AWS Config で記録するリソースの選択

AWS Config は、サポートされているタイプのリソースの作成、変更、または削除を継続的に検出します。AWS Config では、これらのイベントを設定項目として記録します。すべてのサポートされているタイプのリソースの変更またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。AWS Config で記録できるリソースのタイプについては、[サポートされているリソースタイプ] を参照してください。

すべてのサポートされているリソースタイプの記録

デフォルトでは、AWS Config が実行されているリージョンで検出したすべてのサポートされているタイプのリージョナルリソースの設定変更が AWS Config で記録されます。リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。リージョナルリソースの例は EC2 インスタンスと EBS ボリュームです。

AWS Configコマンドを使用して配信チャネルを削除します。グローバルリソースは、特定のリージョンに結び付けられていないため、すべてのリージョンで使用できます。AWS Config でサポートしているグローバルリソースタイプには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーがあります。

重要

2022 年 2 月以降に AWS Config の記録にオンボードされた新しいグローバルリソースタイプは、商用パーティションについてはサービスのあるホームリージョンのみ、GovCloud パーティションについては AWS GovCloud (米国西部) のみで記録されるようになります。これらの新しいグローバルリソースタイプの設定項目は、ホームリージョンおよび AWS GovCloud (米国西部) 以外では表示できません。

AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、AWS::IAM::User など、サポートされるグローバルリソースタイプで 2022 年 2 月以前にオンボードされたものは変更されず、今後も AWS Config でサポートされているすべてのリージョン内の設定項目が提供されます。この変更は、2022 年 2 月以降にオンボードされた新しいグローバルリソースタイプのみに影響します。

2022 年 2 月以降にオンボーディングされたグローバルリソースタイプを記録するには、記録対象のグローバルリソースタイプのホームリージョンにおいて、すべてのサポートされているリソースタイプの記録、を有効にします。

2022 年 2 月以降にオンボーディングされたグローバルリソースタイプのホームリージョン
AWS のサービス	リソースタイプの値	ホームリージョン
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	米国東部 (バージニア北部) リージョン
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	米国西部 (オレゴン) リージョン
	AWS::GlobalAccelerator::EndpointGroup	米国西部 (オレゴン) リージョン
	AWS::GlobalAccelerator::Accelerator	米国西部 (オレゴン) リージョン
Amazon Route 53	AWS::Route53::HostedZone	米国東部 (バージニア北部) リージョン
	AWS::Route53::HealthCheck	米国東部 (バージニア北部) リージョン

特定のリソースタイプの記録

一部のサポートされているリソースの変更を AWS Config で記録しない場合は、特定のタイプのみの変更を記録するようにカスタマイズできます。AWS Config は、指定されたリソースタイプについてリソースの作成や削除などの設定変更を記録します。

リソースが記録されない場合、AWS Config は無料でそのリソースの作成と削除のみを取り込み、他の詳細を取り込みません。記録対象外のリソースが作成または削除されると、AWS Config は通知を送信するとともに、イベントをリソースの詳細ページに表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

記録対象のリソースについて AWS Config が提供する関係情報は、記録対象外のリソースのデータが不足しているという理由で制限されることはありません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。

AWS Config によるリソースタイプの記録はいつでも停止できます。AWS Config によるリソースの記録が停止しても、それまでに取り込まれた設定情報は保持されるため、この情報に引き続きアクセスできます。

AWS Config ルールを使用して、AWS Config で記録するリソースのみのコンプライアンスを評価できます。

AWS Config ルールとグローバルリソースタイプ

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプ (AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、および AWS::IAM::User) は、サポートされているすべてのリージョンで AWS Config によって記録されます。これは、これらのグローバルリソースのコンプライアンスを報告する定期的なルールが、サポートされているすべてのリージョンで評価を継続することを意味します。グローバルリソースの記録を有効にしていないリージョンでも同様です。

注記

定期的なルールは、AWS Config の記録がサポートしないリソースで実行でき、設定レコーダーを有効にしなくても実行可能です。定期的なルールは設定項目に依存しません。変更によってトリガーされるルールと定期的なルールの違いに関する詳細については、「AWS Config ルールのトリガーの指定」を参照してください。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要なコストを回避するために、次の定期ルールを有効にしないことをお勧めします。

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-check

• iam-user-mfa-enabled

• iam-user-unused-credentials-check

• mfa-enabled-for-iam-console-access

• root-account-hardware-mfa-enabled

• root-account-mfa-enabled

グローバルリソースに関するコンプライアンスを報告するためのベストプラクティス

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプ (AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、および AWS::IAM::User)を記録する場合、コストと API スロットリングを回避するために、サポートされているリージョンのいずれかでこれらのグローバルリソースを範囲とする AWS Config ルールとコンフォーマンスパックのみをデプロイしてください。これは、通常の AWS Config ルール、組織の AWS Config ルール、および他の AWS のサービス (Security Hub や Control Tower など) によって作成されたルールに適用されます。

2022 年 2 月以降に AWS Config の記録にオンボードされた新しいグローバルリソースタイプは、商用パーティションについてはサービスのあるホームリージョンのみ、GovCloud パーティションについては AWS GovCloud (米国西部) のみで記録されるようになります。リソースタイプのホームリージョンでこれらのグローバルリソースを範囲とする AWS Config ルールとコンフォーマンスパックのみをデプロイします。詳細については、「2022 年 2 月以降にオンボーディングされたグローバルリソースタイプのホームリージョン」を参照してください。

リソースの選択 (コンソール)

AWS Config コンソールを使用して AWS Config で記録するリソースのタイプを選択できます。

リソースを選択するには

1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

2. [Settings] (設定) ページを開きます。

   • AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、ナビゲーションペインの [Settings] (設定) を選択します。サポートされるリージョンの一覧については、AWS Config Amazon Web Services 全般のリファレンスの [リージョンとエンドポイント] を参照してください。

   • それ以外の場合は、 [Resource Inventory (リソースインベントリ)] ページの [Setting Icon (設定アイコン)( )] を選択します。

3. [Resource types to record (記録するリソースタイプ)] セクションで、AWS で記録する AWS Config リソースのタイプを指定します。

   • [All resources (すべてのリソース) ] - AWS Config はサポートされているすべてのリソースを記録します。以下のオプションがあります。

     • [Record all resources supported in this region (このリージョンではサポートされているすべてのリソースを記録します)] - AWS Config はサポートされているすべてのタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

     • [Include global resources ( グローバルリソースを含める )] - AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

   • [Specific types (特定のタイプ)] - AWS Config は指定された AWS タイプのリソースの設定変更のみを記録します。

4. 変更を保存します。

   • AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、[Save (保存)] を選択します。

   • それ以外の場合は、[Continue (続行)] を選択します。[AWS Config Config がリソース設定を読み取るアクセス許可を要求している] ページでは、[Allow ( 許可 )] を選択します。

リソースの選択 (AWS CLI)

AWS CLI を使用して AWS Config で記録するリソースのタイプを選択できます。これを行うには、設定レコーダーを作成します。設定レコーダーは、記録グループ内の指定されたタイプのリソースを記録します。記録グループ内で、すべてのサポートされているタイプのリソースを記録するか、特定のタイプのリソースを記録するかを指定します。

すべてのサポートされているリソースを選択するには

1. 次のput-configuration-recorderコマンドを使用します。

   $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role --recording-group allSupported=true,includeGlobalResourceTypes=true

   このコマンドでは、--recording-group パラメータで以下のオプションを使用します。

   • allSupported=true - AWS Config は、すべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

   • includeGlobalResourceTypes=true – AWS Config は、サポートされているタイプのグローバルリソースを記録対象のリソースに含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。

     このオプションを true に設定する前に、allSupported オプションを true に設定する必要があります。

     グローバルリソースを含めない場合は、このオプションを false に設定するか、このオプション自体を省略します。

2. (オプション) 設定レコーダーが正しく設定されていることを確認するには、次のdescribe-configuration-recordersコマンドを使用します。

   $ aws configservice describe-configuration-recorders

   以下に、応答の例を示します。

   {
       "ConfigurationRecorders": [
           {
               "recordingGroup": {
                   "allSupported": true,
                   "resourceTypes": [],
                   "includeGlobalResourceTypes": true
               },
               "roleARN": "arn:aws:iam::123456789012:role/config-role",
               "name": "default"
           }
       ]
   }

特定のタイプのリソースを選択するには

1. AWS Configservice put-configuration-recorderコマンドを使用して、1 つ以上のリソースタイプを --recording-group オプションで渡します。次に例を示します。

   $ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group file://recordingGroup.json

   recordingGroup.json ファイルは、AWS Config で記録するリソースのタイプを指定します。

   {
     "allSupported": false,
     "includeGlobalResourceTypes": false,
     "resourceTypes": [
       "AWS::EC2::EIP",
       "AWS::EC2::Instance",
       "AWS::EC2::NetworkAcl",
       "AWS::EC2::SecurityGroup",
       "AWS::CloudTrail::Trail",
       "AWS::EC2::Volume",
       "AWS::EC2::VPC",
       "AWS::IAM::User",
       "AWS::IAM::Policy"
     ]
   }

   resourceTypes キーのリソースタイプを指定する前に、allSupported オプションおよび includeGlobalResourceTypes オプションを false に設定するか、オプション自体を省略する必要があります。

2. (オプション) 設定レコーダーが正しく設定されていることを確認するには、次のdescribe-configuration-recordersコマンドを使用します。

   $ aws configservice describe-configuration-recorders

   以下に、応答の例を示します。

   {
       "ConfigurationRecorders": [
           {
               "recordingGroup": {
                   "allSupported": false,
                   "resourceTypes": [
                       "AWS::EC2::EIP",
                       "AWS::EC2::Instance",
                       "AWS::EC2::NetworkAcl",
                       "AWS::EC2::SecurityGroup",
                       "AWS::CloudTrail::Trail",
                       "AWS::EC2::Volume",
                       "AWS::EC2::VPC",
                       "AWS::IAM::User",
                       "AWS::IAM::Policy"
                   ],
                   "includeGlobalResourceTypes": false
               },
               "roleARN": "arn:aws:iam::123456789012:role/config-role",
               "name": "default"
           }
       ]
   }