設定レコーダーの使用

設定レコーダーは、範囲内のリソースタイプの設定変更を設定項目 (CIsとして保存します。

設定レコーダーには 2 つのタイプがあります。

Type	説明
カスタマーマネージド設定レコーダー	管理した設定レコーダー。スコープ内のリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 が実行され AWS リージョン ている でサポートされているすべてのリソースを記録します。
サービスにリンクされた設定レコーダー	特定の にリンクされている設定レコーダー AWS のサービス。スコープ内のリソースタイプは、リンクされたサービスによって設定されます。

トピック

• カスタマーマネージド設定レコーダーに関する考慮事項

• サービスにリンクされた設定レコーダーに関する考慮事項

• 設定レコーダーのドリフト検出

• カスタマーマネージド設定レコーダーの起動

• カスタマーマネージド設定レコーダーの停止

• カスタマーマネージド設定レコーダーの記録頻度の変更

• カスタマーマネージド設定レコーダーの名前変更

• 設定レコーダーの表示

• 設定レコーダーの削除

カスタマーマネージド設定レコーダーに関する考慮事項

リージョンごとにアカウントごとに 1 つのカスタマーマネージド設定レコーダー

カスタマー管理設定レコーダーは、それぞれ AWS アカウント 1 つのみ持つことができます AWS リージョン。

デフォルトでは、グローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプが記録されます。

カスタマーマネージド設定レコーダーのデフォルトは、サポートされているすべてのリソースタイプを記録することです。ただし、グローバル IAM リソースタイプ AWS::IAM::Group、AWS::IAM::PolicyAWS::IAM::Role、、AWS::IAM::Userおよび は除きます。記録に含めるリソースタイプまたは記録から除外するリソースタイプを指定できます。

詳細については、「を使用した AWS リソースの記録 AWS Config」を参照してください。

カスタマーマネージド設定レコーダーの使用には、サービス使用料が課金されます。

がカスタマーマネージド設定レコーダーで設定の記録 AWS Config を開始すると、サービス使用料が請求されます。

料金に関する情報については、[AWS Config の料金]を参照してください。

AWS Systems Manager を使用して組織全体でカスタマーマネージド設定レコーダーを作成する

AWS Systems Manager 高速セットアップを使用して、複数の組織単位 (OUs) にまたがるカスタマー管理設定レコーダーを作成し、 AWS ベストプラクティス AWS リージョン を使用できます。

詳細については、「 Systems Manager ユーザーガイド」の「高速セットアップを使用して AWS Config 設定レコーダーを作成する」を参照してください。

重要

ポリシーとコンプライアンスの結果

で管理される IAM ポリシーやその他のポリシーは、 AWS Config にリソースの設定変更を記録するアクセス許可があるかどうかに影響を与える可能性があります。 AWS Organizationsさらに、 ルールはリソースの設定を直接評価し、 ルールは評価の実行時にこれらのポリシーを考慮しません。有効なポリシーが、使用する意図と一致していることを確認してください AWS Config。

設定レコーダーがオフになっている場合、削除されたリソースの古い評価結果が保持される可能性があります。

カスタマー管理設定レコーダーがオフになっている場合、 AWS Config Config が、削除を含む、指定したリソースの設定の変更を追跡する機能を無効にします。つまり、カスタマーマネージド設定レコーダーがオフになっていると、 は記録がオンになっていないと削除イベントをキャプチャ AWS Config できないため、削除されたリソースの古い評価結果が表示されることがあります。

サービスにリンクされた設定レコーダーに関する考慮事項

AWS Config サービスにリンクされたロールを使用する必要があります

AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。

詳細については、「AWS Config用のサービスリンクロールの使用」を参照してください。

サービスにリンクされた設定レコーダーは常に記録されます

サービスにリンクされた設定レコーダーの記録を停止または開始することはできません。記録を停止するには、サービスにリンクされた設定レコーダーを削除する必要があります。

詳細については、「設定レコーダーの削除」を参照してください。

記録スコープは、設定項目を受信するかどうかを決定します。

記録スコープは、設定レコーダーにリンクされたサービスによって設定され、配信チャネルで設定項目 (CIs) を受信するかどうかを決定します。記録スコープが内部の場合、配信チャネルで CIsを受信しません。

記録スコープによって、サービス料金が請求されるかどうかが決まります。

記録スコープは、設定レコーダーにリンクされているサービスによって設定され、範囲内の設定項目 (CIs) が無料 (INTERNAL) で記録されるか、請求コスト (PAID) に影響するかを決定します。

設定レコーダーのドリフト検出

AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。

例えば、この CI は、 AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。

AWS::Config::ConfigurationRecorder リソースタイプは のシステムリソースタイプ AWS Config であり、このリソースタイプの記録はサポートされているすべてのリージョンでデフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。