設定レコーダーの使用 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定レコーダーの使用

設定レコーダーは、対象範囲内のリソースタイプの設定変更を設定項目 (CIsとして保存します。

設定レコーダーには 2 つのタイプがあります。

Type 説明
カスタマーマネージド設定レコーダー 管理した設定レコーダー。スコープ内のリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 AWS リージョン が実行されている でサポートされているすべてのリソースを記録します。
サービスにリンクされた設定レコーダー 特定の にリンクされた設定レコーダー AWS のサービス。スコープ内のリソースタイプは、リンクされたサービスによって設定されます。

カスタマーマネージド設定レコーダーに関する考慮事項

リージョンごとにアカウントごとに 1 つのカスタマーマネージド設定レコーダー

カスタマーマネージド設定レコーダーは、それぞれ 1 つのみ持つことができます AWS アカウント AWS リージョン。

デフォルトでは、グローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプを記録します。

カスタマーマネージド設定レコーダーのデフォルトは、、、、AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::RoleAWS::IAM::Userおよび のグローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプを記録することです。記録に含めるリソースタイプまたは記録から除外するリソースタイプを指定できます。

詳細については、「を使用した AWS リソースの記録 AWS Config」を参照してください。

カスタマーマネージド設定レコーダーの使用には、サービス使用料が課金されます。

がカスタマーマネージド設定レコーダーで設定の記録 AWS Config を開始すると、サービス使用料が課金されます。

料金に関する情報については、[AWS Config の料金]を参照してください。

AWS Systems Manager を使用して組織全体でカスタマーマネージド設定レコーダーを作成する

AWS Systems Manager 高速セットアップを使用して、複数の組織単位 (OUsカスタマーマネージド設定レコーダーを作成し、 AWS ベストプラクティス AWS リージョン を使用できます。

詳細については、「Systems Manager ユーザーガイド」の「高速セットアップを使用して AWS Config 設定レコーダーを作成する」を参照してください。

重要

ポリシーとコンプライアンスの結果

で管理される IAM ポリシーやその他のポリシーは、 AWS Config がリソースの設定変更を記録するアクセス許可を持っているかどうかに影響を与える可能性があります。 AWS Organizationsさらに、ルールはリソースの設定を直接評価し、ルールは評価の実行時にこれらのポリシーを考慮しません。有効なポリシーが、使用する意図と一致していることを確認してください AWS Config。

設定レコーダーがオフになっている場合、削除されたリソースの古い評価結果は保持される可能性があります

カスタマーマネージド設定レコーダーがオフになっている場合、 AWS Config Config が削除など、指定したリソースの設定の変更を追跡する機能を無効にします。つまり、カスタマーマネージド設定レコーダーがオフになっていると削除されたリソースの評価結果が古くなることがあります。これは、記録がオンになっていないと が削除イベントをキャプチャ AWS Config できないためです。

サービスにリンクされた設定レコーダーに関する考慮事項

AWS Config サービスにリンクされたロールを使用する必要があります

AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。

詳細については、「AWS Config用のサービスリンクロールの使用」を参照してください。

サービスにリンクされた設定レコーダーは常に記録されます

サービスにリンクされたレコーダーは固定されています。サービスにリンクされたレコーダーの設定を直接変更することはできません。レコーダーの起動、停止、更新などのレコーダー設定を変更するには、サービスにリンクされたレコーダーを使用する関連 AWS サービスを通じてこれらの変更を行います。

詳細については、「設定レコーダーの削除」を参照してください。

記録スコープは、設定項目を受信するかどうかを決定します。

記録スコープは、設定レコーダーにリンク AWS のサービス された によって設定され、配信チャネルで設定項目 (CIs) を受信するかどうかを決定します。記録範囲が INTERNAL の場合、配信チャネルで CIsは受信されません。

記録範囲によって、サービス料金が請求されるかどうかが決まります。

記録範囲は、設定レコーダーにリンク AWS のサービス されている によって設定され、範囲内の設定項目 (CIs) が無料 (INTERNAL) で記録されるか、請求コスト (PAID) に影響するかを決定します。

レコーダー間の記録頻度の優先順位

同じリソースタイプを記録する「PAID」の記録範囲を持つカスタマーマネージド設定レコーダーとサービスにリンクされた設定レコーダーの両方がある場合、記録頻度の高いレコーダーが優先されます。例えば、カスタマーマネージドレコーダーが日次記録に設定されている場合、記録範囲が「PAID」で継続的な記録を行うサービスにリンクされたレコーダーを使用する AWS サービスを有効にすると、影響を受けるリソースタイプは継続的に記録されます。

つまり、カスタマーマネージドレコーダーの設定に「毎日の記録」が表示されていても、両方のレコーダーの対象となるリソースタイプの継続的な記録に対して課金されます。これは、両方のレコーダーによって記録されているリソースタイプにのみ影響します。

注記

カスタマーマネージド設定レコーダーまたはサービスにリンクされた設定レコーダーによって生成された設定項目の数に関係なく、設定項目ごとに 1 回のみ課金されます。

例: 記録頻度の優先順位

Amazon EC2 インスタンスを毎日の記録頻度で記録するようにカスタマーマネージドレコーダーを設定しました。後で、 AWS 「PAID」という記録範囲のサービスにリンクされたレコーダーと、Amazon EC2 インスタンスも記録する継続的な記録を使用するサービス機能を有効にします。このシナリオでは、次のようになります。

  • カスタマーマネージドレコーダーの設定には「毎日録画」と表示されます。

  • Amazon EC2 インスタンスは継続的に記録され、記録範囲がCIs が提供されます。

  • Amazon EC2 インスタンスの継続的な記録に対して料金が発生します。

  • カスタマーマネージドレコーダーによってのみ記録される他のリソースタイプは、引き続き毎日の記録頻度で記録されます。

サポートされる サービス

サービスにリンクされた設定レコーダーは、次のサービスでサポートされています。

AWS service サービスプリンシパル で を使用する利点 AWS Config 詳細はこちら
Amazon CloudWatch observabilityadmin.amazonaws.com, telemetry-enablement.observabilityadmin.amazonaws.com Amazon CloudWatch Observability Admin を使用して、 AWS 組織またはアカウントの CloudWatch のテレメトリ設定の状態を検出して理解できます。 詳細については、CloudWatch ユーザーガイド」の「CloudWatch テレメトリ設定の監査」を参照してください。 CloudWatch
AWS Security Hub securityhub.amazonaws.com を使用して AWS Security Hub 、セキュリティ検出結果を一元管理し、 AWS アカウント全体でセキュリティ評価を実行できます。サービスにリンクされたレコーダーを使用すると、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチが可能になります。 詳細については、「 Security Hub ユーザーガイド」の「Security Hub を有効にする」を参照してください。

設定レコーダーのドリフト検出

AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。

例えば、この CI は、 AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。

AWS::Config::ConfigurationRecorder リソースタイプは のシステムリソースタイプ AWS Config であり、このリソースタイプの記録はサポートされているすべてのリージョンでデフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。