AWS Config で記録するリソースの選択
AWS Config は、サポートされているタイプのリソースの作成、変更、または削除を継続的に検出します。AWS Config では、これらのイベントを設定項目として記録します。すべてのサポートされているタイプのリソースの変更またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。AWS Config で記録できるリソースのタイプについては、[サポートされているリソースタイプ] を参照してください。
すべてのサポートされているリソースタイプの記録
デフォルトでは、AWS Config が実行されているリージョンで検出したすべてのサポートされているタイプのリージョナルリソースの設定変更が AWS Config で記録されます。リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。リージョナルリソースの例は EC2 インスタンスと EBS ボリュームです。
AWS Configコマンドを使用して配信チャネルを削除します。グローバルリソースは、特定のリージョンに結び付けられていないため、すべてのリージョンで使用できます。AWS Config でサポートしているグローバルリソースタイプは、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーです。
2022 年 2 月以降に AWS Config の記録にオンボードされた新しいグローバルリソースタイプは、商用パーティションについてはサービスのあるホームリージョンのみ、GovCloud パーティションについては AWS GovCloud (米国西部) のみで記録されるようになります。これらの新しいグローバルリソースタイプの設定項目は、ホームリージョンおよび AWS GovCloud (米国西部) 以外では表示できません。
AWS::IAM::Group
、AWS::IAM::Policy
、AWS::IAM::Role
、AWS::IAM::User
など、サポートされるグローバルリソースタイプで 2022 年 2 月以前にオンボードされたものは変更されず、今後も AWS Config で有効化されているすべてのリージョン内の設定項目を配信します。この変更は、2022 年 2 月以降にオンボードされた新しいグローバルリソースタイプのみに影響します。
特定のリソースタイプの記録
一部のサポートされているリソースの変更を AWS Config で記録しない場合は、特定のタイプのみの変更を記録するようにカスタマイズできます。AWS Config は、指定されたリソースタイプについてリソースの作成や削除などの設定変更を記録します。
リソースが記録されない場合、AWS Config は無料でそのリソースの作成と削除のみを取り込み、他の詳細を取り込みません。記録対象外のリソースが作成または削除されると、AWS Config は通知を送信するとともに、イベントをリソースの詳細ページに表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。
記録対象のリソースについて AWS Config が提供する関係情報は、記録対象外のリソースのデータが不足しているという理由で制限されることはありません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。
AWS Config によるリソースタイプの記録はいつでも停止できます。AWS Config によるリソースの記録が停止しても、それまでに取り込まれた設定情報は保持されるため、この情報に引き続きアクセスできます。
AWS Config ルールを使用して、AWS Config で記録するリソースのみのコンプライアンスを評価できます。
リソースの選択 (コンソール)
AWS Config コンソールを使用して AWS Config で記録するリソースのタイプを選択できます。
リソースを選択するには
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
[Settings] (設定) ページを開きます。
-
AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、ナビゲーションペインの [Settings] (設定) を選択します。サポートされるリージョンの一覧については、AWS Config Amazon Web Services 全般のリファレンスの [リージョンとエンドポイント] を参照してください。
-
それ以外の場合は、 [Resource Inventory (リソースインベントリ)] ページの [Setting Icon (設定アイコン)(
)] を選択します。
-
-
[Resource types to record (記録するリソースタイプ)] セクションで、AWS で記録する AWS Config リソースのタイプを指定します。
-
[All resources (すべてのリソース) ] - AWS Config はサポートされているすべてのリソースを記録します。以下のオプションがあります。
-
[Record all resources supported in this region (このリージョンではサポートされているすべてのリソースを記録します)] - AWS Config はサポートされているすべてのタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。
-
[Include global resources ( グローバルリソースを含める )] - AWS Config は、サポートされているタイプのグローバルリソース (IAM リソースなど) を記録対象のリソースに含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。
-
-
[Specific types (特定のタイプ)] - AWS Config は指定された AWS タイプのリソースの設定変更のみを記録します。
-
-
変更を保存します。
-
AWS Config ルールをサポートするリージョンで AWS Config を使用している場合は、[Save (保存)] を選択します。
-
それ以外の場合は、[Continue (続行)] を選択します。[AWS Config Config がリソース設定を読み取るアクセス許可を要求している] ページでは、[Allow ( 許可 )] を選択します。
-
リソースの選択 (AWS CLI)
AWS CLI を使用して AWS Config で記録するリソースのタイプを選択できます。これを行うには、設定レコーダーを作成します。設定レコーダーは、記録グループ内の指定されたタイプのリソースを記録します。記録グループ内で、すべてのサポートされているタイプのリソースを記録するか、特定のタイプのリソースを記録するかを指定します。
すべてのサポートされているリソースを選択するには
-
次の
put-configuration-recorder
コマンドを使用します。$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=
arn:aws:iam::123456789012:role/config-role
--recording-group allSupported=true
,includeGlobalResourceTypes=true
このコマンドでは、
--recording-group
パラメータで以下のオプションを使用します。-
allSupported=true
- AWS Config は、すべてのサポートされているタイプのリージョナルリソースの設定変更を記録します。新しいタイプのリージョナルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。 -
includeGlobalResourceTypes=true
– AWS Config は、サポートされているタイプのグローバルリソースを記録対象のリソースに含めます。新しいタイプのグローバルリソースのサポートが追加された場合は、AWS Config で自動的にそのタイプのリソースの記録が開始されます。このオプションを
true
に設定する前に、allSupported
オプションをtrue
に設定する必要があります。グローバルリソースを含めない場合は、このオプションを
false
に設定するか、このオプション自体を省略します。
-
-
(オプション) 設定レコーダーが正しく設定されていることを確認するには、次の
describe-configuration-recorders
コマンドを使用します。$ aws configservice describe-configuration-recorders
以下に、応答の例を示します。
{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": true, "resourceTypes": [], "includeGlobalResourceTypes": true }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }
特定のタイプのリソースを選択するには
-
AWS Configservice
put-configuration-recorder
コマンドを使用して、1 つ以上のリソースタイプを--recording-group
オプションで渡します。次に例を示します。$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=
arn:aws:iam::012345678912:role/myConfigRole
--recording-groupfile://recordingGroup.json
recordingGroup.json
ファイルは、AWS Config で記録するリソースのタイプを指定します。{ "allSupported": false, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }
resourceTypes
キーのリソースタイプを指定する前に、allSupported
オプションおよびincludeGlobalResourceTypes
オプションを false に設定するか、オプション自体を省略する必要があります。 -
(オプション) 設定レコーダーが正しく設定されていることを確認するには、次の
describe-configuration-recorders
コマンドを使用します。$
aws configservice describe-configuration-recorders
以下に、応答の例を示します。
{ "ConfigurationRecorders": [ { "recordingGroup": { "allSupported": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ], "includeGlobalResourceTypes": false }, "roleARN": "arn:aws:iam::123456789012:role/config-role", "name": "default" } ] }