翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config どのリソースを記録するかを選択する
AWS Config サポートされているリソースタイプが作成、変更、削除されたことを継続的に検出します。 AWS Config これらのイベントを構成項目 (CI) として記録します。すべてのサポートされているリソースタイプの変更、またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。 AWS Config 記録できるサポート対象リソースタイプのリストについては、を参照してくださいサポートされているリソースタイプ。
AWS Config 多数の評価
AWS Configでの最初の月の記録では、その後の月に比べてアカウントのアクティビティが増加していることに気付くかもしれません。最初のブートストラッププロセスでは、 AWS Config 記録対象として選択したアカウントのすべてのリソースに対して評価を実行します。 AWS Config
一時的なワークロードを実行している場合、 AWS Config 一時的なリソースの作成や削除に伴う設定変更を記録するため、アクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。エフェメラルワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録対象から除外するように設定レコーダーを設定するか、 AWS Config これらの種類のワークロードをオフにして別のアカウントで実行して、構成の記録やルール評価が増えないようにすることができます。
リージョナルリソースとグローバルリソースの違い
- リージョナルリソース
-
リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。リソースを指定して作成すると AWS リージョン、そのリージョンに存在するようになります。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。たとえば、を使用して Amazon EC2 インスタンスを作成するには AWS Management Console、インスタンスを作成する場所を選択します。 AWS リージョン AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、--region
パラメータを含めます。 AWS SDK にはそれぞれ、操作で使用するリージョンを指定する独自のメカニズムがあります。
リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。
AWS リージョン AWS CLI
コンソールまたはコマンドで別のものを指定すると、以前のリージョンに表示されていたリソースを表示したり操作したりできなくなります。
リージョナルリソースの Amazon リソースネーム (ARN) を表示すると、そのリソースを含むリージョンが ARN の 4 番目のフィールドとして指定されています。例えば、Amazon EC2 インスタンスはリージョナルリソースです。以下に示しているのは、us-east-1
リージョンに存在する Amazon EC2 インスタンス用の ARN の例です。
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
- グローバルリソース
-
AWS 一部のサービスリソースはグローバルリソースであるため、どこからでもリソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、 AWS CLI サービスと AWS SDK --region
オペレーションを使用するときにパラメータを指定する必要はありません。
グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。
例えば、Amazon Aurora グローバルクラスター (AWS::RDS::GlobalCluster
) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。Amazon Relational Database Service (Amazon RDS) 自体はリージョンごとに構成されている一方で、グローバルクラスターを生成した特定のリージョンによってグローバルクラスターに影響を与えないという利点があります。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。
グローバルリソースの Amazon リソースネーム (ARN) には、リージョンは含まれません。以下のグローバルクラスターの ARN の例のように、4 番目のフィールドは空です。
arn:aws:rds::123456789012:global-cluster:test-global-cluster
2022 年 2 AWS Config 月以降にオンボーディングされたグローバルリソースタイプは、商用パーティションではサービスのホームリージョンに、パーティションでは AWS GovCloud (米国西部) にのみ記録されます。 GovCloud これらの新しいグローバルリソースタイプの構成項目 (CI) は、そのホームリージョンと AWS GovCloud (米国西部) でのみ表示できます。
2022 年 2 月より前にオンボードされたグローバルリソースタイプ (AWS::IAM::Group
、AWS::IAM::Policy
、AWS::IAM::Role
、および AWS::IAM::User
) は変更されません。これらのグローバル IAM リソースの記録は、2022 年 2 AWS Config 月以前にサポートされていたすべてのリージョンで有効にできます。これらのグローバル IAM リソースは、2022 年 2 AWS Config 月以降にサポートされるリージョンでは記録できません。
- グローバルリソースタイプ | IAM リソース
-
IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーの IAM リソースタイプはグローバルリソースです。これらのリソースタイプは、2022 AWS Config 年 2 AWS Config 月以前に利用可能だったリージョンで記録できます。グローバル IAM リソースタイプを記録できないこのリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、カナダ西部 (カルガリー)、ヨーロッパ (スペイン)、ヨーロッパ (チューリッヒ)、イスラエル (テルアビブ)、中東 (UAE) のリージョンが含まれています。
構成項目 (CI) が重複しないようにするには、サポートされているリージョンのいずれかでグローバル IAM リソースタイプを 1 回だけ記録することを検討してください。また、不必要な評価や API スロットリングを回避するのにも役立ちます。
- グローバルリソースタイプ | ホームリージョンのみ
-
以下のサービスのグローバルリソースは、グローバルリソースタイプのホームリージョン (Amazon Elastic Container Registry Public AWS Global Accelerator、および Amazon Route 53) でのみ記録されます。 AWS Config これらのグローバルリソースでは、 AWS リソースタイプの同じインスタンスを複数のリージョンで使用できますが、設定項目 (CI) は商用パーティションの場合はホームリージョン、パーティションの場合はホームリージョン、パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。 AWS GovCloud (US)
AWS サービス |
リソースタイプの値 |
ホームリージョン |
Amazon Elastic Container Registry Public |
AWS::ECR::PublicRepository |
米国東部 (バージニア北部) リージョン |
AWS Global Accelerator |
AWS::GlobalAccelerator::Listener |
米国西部 (オレゴン) リージョン |
AWS::GlobalAccelerator::EndpointGroup |
米国西部 (オレゴン) リージョン |
AWS::GlobalAccelerator::Accelerator |
米国西部 (オレゴン) リージョン |
Amazon Route 53 |
AWS::Route53::HostedZone |
米国東部 (バージニア北部) リージョン |
AWS::Route53::HealthCheck |
米国東部 (バージニア北部) リージョン |
- グローバルリソースタイプ | Aurora グローバルクラスター
-
AWS::RDS::GlobalCluster
AWS Config 設定レコーダーが有効になっているすべてのサポート対象リージョンに記録されるグローバルリソースです。このグローバルリソースタイプは、 AWS Config あるリージョンでこのリソースの記録を有効にすると、有効になっているすべてのリージョンでこのリソースタイプの設定項目 (CI) が記録されるという点で独特です。
有効になっているすべてのリージョンに記録したくない場合は、AWS::RDS::GlobalCluster
AWS Config コンソールで以下のいずれかの記録方法を使用してください。
有効なすべてのリージョンで AWS::RDS::GlobalCluster
を記録しない場合、API/CLI に対して次のいずれかの記録方法を使用します。
コンソールにリソースを記録する。 AWS Config
AWS Config コンソールを使用して、 AWS Config 記録するリソースの種類を選択できます。
リソースを選択するには
AWS Management Console にサインインし、https://console.aws.amazon.com/config/ AWS Config にあるコンソールを開きます。
-
左のナビゲーションペインで、[設定] を選択し、[編集] を選択します。サポートされているリージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Config の エンドポイントとクォータ」を参照してください。
-
[記録方法] セクションで、記録方法を選択します。 AWS AWS Config 記録するリソースを指定できます。
- All resource types with customizable overrides
-
このリージョンで現在およびfuture AWS Config サポートされるすべてのリソースタイプの設定変更を記録するように設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[サポートされるリソースタイプ] を参照してください。
- Specific resource types
-
AWS Config 指定したリソースタイプのみの設定変更を記録するように設定します。
利用可能なリージョン
追跡するリソースタイプを指定する前に、「リージョン別のリソース適用範囲」をチェックして、 AWS AWS Config設定したリージョンでそのリソースタイプがサポートされているかどうかを確認してください。 AWS Config 1 AWS Config つ以上のリージョンでリソースタイプがサポートされている場合は、指定したリソースタイプが設定したリージョンでサポートされていなくても AWS Config、 AWS がサポートしているすべてのリージョンでそのリソースタイプを記録できます AWS Config。
制限
すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。
次のリソースタイプに日次頻度はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
-
[保存] を選択して変更を保存します。
AWS CLI によるリソースの記録
AWS CLI を使用して、 AWS Config 記録するリソースのタイプを選択できます。これを行うには、設定レコーダーを作成します。設定レコーダーは、記録グループ内の指定されたタイプのリソースを記録します。記録グループ内では、サポートされているすべてのリソースタイプを記録するのか、特定のリソースタイプのみを含めるか、または除外するかを指定します。
- Record all current and future supported resource types
-
このリージョンで現在およびfuture AWS Config サポートされるすべてのリソースタイプの設定変更を記録するように設定します。詳細については、[サポートされるリソースタイプ] を参照してください。
-
次のput-configuration-recorder
コマンドを使用します。
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
--configuration-recorder
---recording-group
このコマンドはとフィールドを使用します。
レコーディンググループと設定レコーダー
--recording-group
フィールドは、記録するリソースタイプを指定します。
--configuration-recorder
このフィールドではname
、設定レコーダー (recordingMode
) roleArn
のデフォルトの記録頻度だけでなく、およびも指定します。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
-
put-configuration-recorder
コマンドは、--recording-group
パラメータで次のフィールドを使用します。
-
allSupported=true
— グローバル IAM リソースタイプを除く、 AWS Config サポートされているすべてのリソースタイプの設定変更を記録します。 AWS Config 新しいリソースタイプへのサポートが追加されると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。
-
includeGlobalResourceTypes=true
- このオプションは、グローバル IAM リソースタイプ (IAM ユーザー、グループ、ロール、および カスタマー管理ポリシー) にのみ適用されるバンドルです。これらのグローバル IAM リソースタイプは、2022 AWS Config 年 2 AWS Config 月以前に利用可能だったリージョンでのみ記録できます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。
アジアパシフィック (ハイデラバード)
アジアパシフィック (メルボルン)
カナダ西部 (カルガリー)
欧州 (スペイン)
欧州 (チューリッヒ)
イスラエル (テルアビブ)
中東 (アラブ首長国連邦)
Aurora グローバルクラスターは有効なすべてのリージョンで記録されます
AWS::RDS::GlobalCluster
リソースタイプは、に設定されていなくても、 AWS Config includeGlobalResourceTypes
設定レコーダーが有効になっているすべてのサポート対象リージョンに記録されます。true
includeGlobalResourceTypes
オプションは、IAM ユーザー、グループ、ロール、および カスタマー管理ポリシーにのみ適用されるバンドルです。
有効なすべてのリージョンで AWS::RDS::GlobalCluster
を記録しない場合は、以下のいずれかの記録方法を使用します。
指定するタイプを除き、現在および将来のすべてのリソースタイプを記録する (EXCLUSION_BY_RESOURCE_TYPES
)、または
[特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES
)。
詳細については、「記録対象のリソースの選択 | リージョナルリソースおよびグローバルリソース」を参照してください。
includeGlobalResourceタイプと除外記録戦略
includeGlobalResourceTypes
EXCLUSION_BY_RESOURCE_TYPES
このフィールドはレコーディング戦略には影響しません。つまり、グローバルな IAM リソースタイプ (IAM ユーザー、グループ、ロール、カスタマー管理ポリシー) includeGlobalResourceTypes
は、exclusionByResourceTypes
がに設定されている場合の除外項目として自動的に追加されないということです。false
includeGlobalResourceTypes
フィールドのデフォルトではグローバル IAM リソースタイプを除くすべてのサポート対象リソースタイプの設定変更が記録されるため、AllSupported
このフィールドはフィールドを変更する場合にのみ使用してください。AllSupported
AllSupported
をに設定したときにグローバル IAM リソースタイプを含めるにはtrue
、includeGlobalResourceTypes
必ずに設定してください。true
グローバル IAM EXCLUSION_BY_RESOURCE_TYPES
リソースタイプを記録ストラテジーから除外するには、resourceTypes
それらのリソースタイプをのフィールドに手動で追加する必要があります。exclusionByResourceTypes
必須フィールドとオプションフィールド
includeGlobalResourceTypes
を true
に設定する前に、allSupported
フィールドを true
に設定します。
オプションで、RecordingStrategy
の useOnly
フィールドを ALL_SUPPORTED_RESOURCE_TYPES
に設定することもできます。
フィールドを無効にする
のフィールドでグローバル IAM includeGlobalResourceTypes
false
AWS Config リソースタイプだけを設定してもRecordingGroup、resourceTypes
フィールドを false に設定したかどうかにかかわらず、指定されたリソースタイプの設定変更が記録されます。includeGlobalResourceTypes
グローバル IAM リソースタイプ (IAM ユーザー、ロール、カスタマー管理ポリシー) の設定変更を記録しない場合は、resourceTypes
フィールドを false に設定するだけでなく、それらを includeGlobalResourceTypes
フィールドに入れないようにしてください。
recordingGroup.json
ファイルは、 AWS Config で記録するリソースのタイプを指定します。
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
-
put-configuration-recorder
コマンドは、--configuration-recorder
パラメータで次のフィールドを使用します。
name
— 設定レコーダーの名前。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。
roleARN
— AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN)。
recordingMode
— AWS Config 設定変更を記録するために使用するデフォルトの記録頻度を指定します。 AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。
-
recordingFrequency
— AWS Config 設定変更の記録に使用されるデフォルトの記録頻度。
AWS Firewall Manager リソースを監視するには、継続的な記録が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides
– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride
オブジェクトの配列です。recordingModeOverrides
配列の各 recordingModeOverride
オブジェクトは、次の 3 つのフィールドで構成されます。
description
- オーバーライドに入力した説明。
recordingFrequency
- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。
resourceTypes
— AWS Config オーバーライドに含まれるリソースタイプを指定するカンマ区切りのリスト。
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES
) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json
このファイルには、設定レコーダー () roleArn
recordingMode
のデフォルトの記録頻度だけでなく、name
も指定されています。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(オプション) 設定レコーダーが正しく設定されていることを確認するには、次の describe-configuration-recorders
コマンドを使用します。
$ aws configservice describe-configuration-recorders
以下に、応答の例を示します。
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
- Record all current and future supported resources types excluding the types you specify
-
AWS Config 記録から除外するように指定したリソースタイプを除き、グローバルリソースタイプを含む、現在およびfuture サポートされるすべてのリソースタイプの設定変更を記録するように設定します。リソースタイプの記録を停止することを選択した場合、既に記録されている設定項目は変更されません。詳細については、[サポートされるリソースタイプ] を参照してください。
--configuration-recorder
---recording-group
このコマンドはとフィールドを使用します。
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
レコーディンググループと設定レコーダー
--recording-group
フィールドは、記録するリソースタイプを指定します。
--configuration-recorder
このフィールドではname
、設定レコーダー (recordingMode
) roleArn
のデフォルトの記録頻度だけでなく、およびも指定します。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
-
次の例に示すように、put-configuration-recorder
コマンドを使用して、exclusionByResourceTypes
の [resourceTypes
] フィールドに除外する 1 つ以上のリソースタイプを渡します。
-
recordingGroup.json
ファイルは、 AWS Config で記録するリソースのタイプを指定します。
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
記録から除外するリソースタイプを指定する前に、以下を参照してください。
フィールドを無効にする
記録方法に EXCLUSION_BY_RESOURCE_TYPES
を選択した場合、[exclusionByResourceTypes
] フィールドはリクエスト内の他のプロパティよりも優先されます。
例えば、includeGlobalResourceTypes
を false に設定した場合でも、グローバル IAM リソースタイプが exclusionByResourceTypes
の resourceTypes
フィールドに例外として明記されていない限り、グローバルリソースタイプはこのオプションに自動で記録されます。
グローバルリソースタイプおよびリソースの除外の記録方法
デフォルトでは、EXCLUSION_BY_RESOURCE_TYPES
記録方法を選択した場合、 AWS Config 設定レコーダーを設定したリージョンにグローバルリソースタイプを含む新しいリソースタイプへのサポートが追加されると、 AWS Config そのタイプのリソースの記録が自動的に開始されます。
除外として特に記載されていない限り、AWS::RDS::GlobalCluster
設定レコーダーが有効になっていれば、 AWS Config サポートされているすべてのリージョンで自動的に記録されます。
IAM ユーザー、グループ、ロール、顧客管理ポリシーは、設定レコーダーを設定したリージョンが 2022 年 2 AWS Config 月以前に利用可能だったリージョンの場合、そのリージョンに記録されます。2022 年 2 月以降にサポートされるリージョンでは、グローバル IAM リソースタイプを記録することはできません。 AWS Config グローバル IAM リソースタイプを記録できないこのリストには、次のリージョンが含まれています。
アジアパシフィック (ハイデラバード)
アジアパシフィック (メルボルン)
カナダ西部 (カルガリー)
欧州 (スペイン)
欧州 (チューリッヒ)
イスラエル (テルアビブ)
中東 (アラブ首長国連邦)
-
put-configuration-recorder
コマンドは、--configuration-recorder
パラメータで次のフィールドを使用します。
name
— 設定レコーダーの名前。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。
roleARN
— AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN)。
recordingMode
— AWS Config 設定変更を記録するために使用するデフォルトの記録頻度を指定します。 AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。
-
recordingFrequency
— AWS Config 設定変更の記録に使用されるデフォルトの記録頻度。
AWS Firewall Manager リソースを監視するには、継続的な記録が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides
– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride
オブジェクトの配列です。recordingModeOverrides
配列の各 recordingModeOverride
オブジェクトは、次の 3 つのフィールドで構成されます。
description
- オーバーライドに入力した説明。
recordingFrequency
- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。
resourceTypes
— AWS Config オーバーライドに含まれるリソースタイプを指定するカンマ区切りのリスト。
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES
) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json
このファイルには、設定レコーダー () roleArn
recordingMode
のデフォルトの記録頻度だけでなく、name
も指定されています。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(オプション) 設定レコーダーが正しく設定されていることを確認するには、次の describe-configuration-recorders
コマンドを使用します。
$ aws configservice describe-configuration-recorders
以下に、応答の例を示します。
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
- Record specific resource types
-
AWS Config 指定したリソースタイプのみの設定変更を記録するように設定します。リソースタイプの記録を停止することを選択した場合、既に記録されている設定項目は変更されません。
--configuration-recorder
---recording-group
このコマンドはとフィールドを使用します。
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json
\
--recording-group file://recordingGroup.json
レコーディンググループと設定レコーダー
--recording-group
フィールドは、記録するリソースタイプを指定します。
--configuration-recorder
このフィールドではname
、設定レコーダー (recordingMode
) roleArn
のデフォルトの記録頻度だけでなく、およびも指定します。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
-
次の例に示すように、put-configuration-recorder
コマンドを使用して、recordingGroup
の [resourceTypes
] フィールドに 1 つ以上のリソースタイプを渡します。
-
recordingGroup.json
ファイルは、 AWS Config で記録するリソースのタイプを指定します。
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
必須フィールドとオプションフィールド
記録に含めるリソースタイプを指定する前に、[allSupported
] フィールドおよび [includeGlobalResourceTypes
] フィールドに false
を設定するか、フィールド自体を省略する必要があります。
--recording-group
の [resourceTypes
] フィールドにリソースタイプを含める場合、[recordingStrategy
] フィールドはオプションです。
利用可能なリージョン
追跡するリソースタイプを指定する前に、「リージョン別のリソース適用範囲」をチェックして、 AWS AWS Config設定したリージョンでそのリソースタイプがサポートされているかどうかを確認してください。 AWS Config 1 AWS Config つ以上のリージョンでリソースタイプがサポートされている場合は、指定したリソースタイプが設定したリージョンでサポートされていなくても AWS Config、 AWS がサポートしているすべてのリージョンでそのリソースタイプを記録できます AWS Config。
-
put-configuration-recorder
コマンドは、--configuration-recorder
パラメータで次のフィールドを使用します。
name
— 設定レコーダーの名前。 AWS Config 設定レコーダーを作成するときに「default」の名前を自動的に割り当てます。
roleARN
— AWS Config 設定レコーダーが引き受けて使用する IAM ロールの Amazon リソースネーム (ARN)。
recordingMode
— AWS Config 設定変更を記録するために使用するデフォルトの記録頻度を指定します。 AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。
-
recordingFrequency
— AWS Config 設定変更の記録に使用されるデフォルトの記録頻度。
AWS Firewall Manager リソースを監視するには、継続的な記録が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides
– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride
オブジェクトの配列です。recordingModeOverrides
配列の各 recordingModeOverride
オブジェクトは、次の 3 つのフィールドで構成されます。
description
- オーバーライドに入力した説明。
recordingFrequency
- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。
resourceTypes
— AWS Config オーバーライドに含まれるリソースタイプを指定するカンマ区切りのリスト。
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES
) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json
このファイルには、設定レコーダー () roleArn
recordingMode
のデフォルトの記録頻度だけでなく、name
も指定されています。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role
",
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
",
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
}
}
-
(オプション) 設定レコーダーが正しく設定されていることを確認するには、次の describe-configuration-recorders
コマンドを使用します。
$ aws configservice describe-configuration-recorders
以下に、応答の例を示します。
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS
or DAILY
,
"recordingModeOverrides": [
{
"description": "Description you provide for the override
,
"recordingFrequency": CONTINUOUS
or DAILY
,
"resourceTypes": [ Comma-separated list of resource types to include in the override
]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
記録頻度
AWS Config 連続録画とデイリー録画をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。
継続的な記録
継続的な記録のメリットには次が含まれます。
日次記録
日次記録のメリットには次が含まれます。
AWS Firewall Manager リソースのモニタリングには連続録画が必要です。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
リソースの記録を停止する
AWS Config ある種類のリソースの記録はいつでも停止できます。 AWS Config リソースの記録を停止しても、以前にキャプチャされた構成情報は保持され、この情報には引き続きアクセスできます。
記録対象外のリソース
リソースが記録されていない場合は、 AWS Config そのリソースの作成と削除のみがキャプチャされ、その他の詳細はキャプチャされません。費用はかかりません。記録されていないリソースが作成または削除されると、 AWS Config 通知が送信され、そのイベントがリソースの詳細ページに表示されます。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。
AWS::IAM::User
、AWS::IAM::Policy
、 AWS::IAM::Group
、AWS::IAM::Role
リソースタイプは、リソースが設定レコーダーに記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (ResourceNotRecorded
) および削除 (ResourceDeletedNotRecorded
) の状態をキャプチャします。
ResourceNotRecorded
および設定項目 (CI) は、ResourceDeletedNotRecorded
リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、設定レコーダーの定期的なベースライン処理中にのみ記録され、他のリソースタイプよりも頻度は低くなります。
記録されていないリソースのデータが不足しているため、記録されたリソースに関する関係情報には制限がありません。 AWS Config 記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。
AWS Config ルールとグローバルリソースタイプ
2022 年 2 月以前に登録されたグローバルリソースタイプ (AWS::IAM::Group
AWS::IAM::Policy
、AWS::IAM::Role
、およびAWS::IAM::User
) は、2022 AWS Config 年 2 AWS Config 月以前に利用可能だったリージョンでのみ記録できます。これらのグローバル IAM リソースタイプは、2022 年 2 AWS Config 月以降にサポートされるリージョンでは記録できません。
少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録することを選択した場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。
不必要な評価や API スロットリングを回避するため、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、サポートされているリージョンの 1 つにのみデプロイする必要があります。別のリージョンのグローバル IAM リソースタイプの記録を有効にしている場合、グローバル IAM リソースタイプの記録を有効にしていなければ、これらの定期ルールは評価の実行を回避しません。不必要な評価を回避するため、これらの定期ルールのデプロイを 1 つのリージョンに制限する必要があります。
2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。
グローバルリソースに関するコンプライアンスを報告するためのベストプラクティス
2022 年 2 月以前に導入されたグローバルリソースタイプ (AWS::IAM::Group
、、、およびAWS::IAM::User
) を記録する場合はAWS::IAM::Policy
AWS::IAM::Role
、不必要な評価や API スロットリングを避けるため、 AWS Config これらのグローバルリソースを対象範囲とするルールとコンフォーマンスパックのみをサポート対象リージョンのいずれかにデプロイする必要があります。これは、 AWS Config 通常のルール、組織のルールだけでなく、 AWS Config やなどの他のサービスによって作成されたルールにも適用されます。 AWS AWS Security Hub AWS Control Tower
2022 年 2 月以降に記録されるグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。 AWS Config AWS GovCloud (US) リソースタイプのホームリージョンには、 AWS Config これらのグローバルリソースを対象範囲とするルールとコンフォーマンスパックのみをデプロイしてください。詳細については、「2022 年 2 月以降にオンボーディングされたグローバルリソースタイプのホームリージョン」を参照してください。