設定レコーダーの管理 - AWS Config

設定レコーダーの管理

AWS Config では、設定レコーダーを使用してリソースの設定変更を検出し、これらの変更を設定項目として取り込みます。AWS Config でリソースの設定を追跡する前に、設定レコーダーを作成する必要があります。

コンソールまたは AWS CLI を使用して AWS Config を設定すると、AWS Config では自動的に設定レコーダーを作成して起動します。詳細については、[AWS Config の使用の開始] を参照してください。

デフォルトでは、設定レコーダーは AWS Config が実行されているリージョンのすべてのサポートされているリソースを記録します。設定レコーダーをカスタマイズして、指定したリソースタイプのみを記録することもできます。詳細については、[AWS Config で記録するリソースの選択] を参照してください。

AWS Config で設定の記録が開始されると、サービスの利用料金が発生します。料金については、[AWS Config の料金]を参照してください。コストを制御するには、設定レコーダーを停止して、記録を停止できます。記録を停止しても、記録済みの設定情報には引き続きアクセスできます。記録を再開するまでは、AWS Config の利用料金がかかりません。

設定レコーダーを起動すると、AWS Config はアカウント内のすべての AWS リソースを点検します。

設定レコーダーの管理 (コンソール)

AWS Config コンソールを使用して設定レコーダーを停止または起動できます。

設定レコーダーを停止または起動するには
  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. ナビゲーションペインで [Settings (設定)] を選択します。

  3. 設定レコーダーを停止または起動します。

    • 記録を停止する場合は、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。

    • 記録を開始する場合は、[Recording is off] (記録はオフ) の [Turn on] (有効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。

設定レコーダーの管理 (AWS CLI)

AWS CLI を使用して設定レコーダーを停止または起動できます。AWS CLI、AWS Config API、またはいずれかの AWS SDK を使用して設定レコーダーの名前変更や削除を行うこともできます。AWS CLI を使用する手順は以下のとおりです。

設定レコーダーを停止するには
  • stop-configuration-recorderコマンドを使用します。

    $ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
設定レコーダーを起動するには
  • start-configuration-recorderコマンドを使用します。

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
設定レコーダーの名前を変更するには

設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、次に新しい名前で作り直す必要があります。

  1. describe-configuration-recordersコマンドを使用して現在の設定レコーダーの名前を検索します。

    $ aws configservice describe-configuration-recorders { "ConfigurationRecorders": [ { "roleARN": "arn:aws:iam::012345678912:role/myConfigRole", "name": "default" } ] }
  2. delete-configuration-recorderコマンドを使用して現在の設定レコーダーを削除します。

    $ aws configservice delete-configuration-recorder --configuration-recorder-name default
  3. put-configuration-recorderコマンドを使用して、新しい名前で設定レコーダーを作成します。

    $ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
  4. start-configuration-recorder コマンドを使用して記録を再開します。

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
設定レコーダーを削除するには
  • delete-configuration-recorderコマンドを使用します。

    $ aws configservice delete-configuration-recorder --configuration-recorder-name default

設定レコーダーのドリフト検出

AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。例えば、この CI は、AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。

AWS::Config::ConfigurationRecorder リソースタイプは AWS Config のシステムリソースタイプで、このリソースタイプの記録は、サポートされているすべてのリージョンにおいて、デフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。

設定レコーダーのドリフト検出は、次のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS