設定レコーダーの管理
AWS Config では、設定レコーダーを使用してリソースの設定変更を検出し、これらの変更を設定項目として取り込みます。AWS Config でリソースの設定を追跡する前に、設定レコーダーを作成する必要があります。
コンソールまたは AWS CLI を使用して AWS Config を設定すると、AWS Config では自動的に設定レコーダーを作成して起動します。詳細については、[AWS Config の使用の開始] を参照してください。
デフォルトでは、設定レコーダーは AWS Config が実行されているリージョンのすべてのサポートされているリソースを記録します。設定レコーダーをカスタマイズして、指定したリソースタイプのみを記録することもできます。詳細については、[AWS Config で記録するリソースの選択] を参照してください。
AWS Config で設定の記録が開始されると、サービスの利用料金が発生します。料金については、[AWS Config の料金
設定レコーダーを起動すると、AWS Config はアカウント内のすべての AWS リソースを点検します。
設定レコーダーの管理 (コンソール)
AWS Config コンソールを使用して設定レコーダーを停止または起動できます。
設定レコーダーを停止または起動するには
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
ナビゲーションペインで [Settings (設定)] を選択します。
-
設定レコーダーを停止または起動します。
-
記録を停止する場合は、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。
-
記録を開始する場合は、[Recording is off] (記録はオフ) の [Turn on] (有効) を選択します。プロンプトが表示されたら、[Continue (続行)] を選択します。
-
設定レコーダーの管理 (AWS CLI)
AWS CLI を使用して設定レコーダーを停止または起動できます。AWS CLI、AWS Config API、またはいずれかの AWS SDK を使用して設定レコーダーの名前変更や削除を行うこともできます。AWS CLI を使用する手順は以下のとおりです。
設定レコーダーを停止するには
-
stop-configuration-recorderコマンドを使用します。$ aws configservice stop-configuration-recorder --configuration-recorder-nameconfigRecorderName
設定レコーダーを起動するには
-
start-configuration-recorderコマンドを使用します。$ aws configservice start-configuration-recorder --configuration-recorder-nameconfigRecorderName
設定レコーダーの名前を変更するには
設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、次に新しい名前で作り直す必要があります。
-
describe-configuration-recordersコマンドを使用して現在の設定レコーダーの名前を検索します。$ aws configservice describe-configuration-recorders { "ConfigurationRecorders": [ { "roleARN": "arn:aws:iam::012345678912:role/myConfigRole", "name": "default" } ] } -
delete-configuration-recorderコマンドを使用して現在の設定レコーダーを削除します。$ aws configservice delete-configuration-recorder --configuration-recorder-namedefault -
put-configuration-recorderコマンドを使用して、新しい名前で設定レコーダーを作成します。$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole -
start-configuration-recorderコマンドを使用して記録を再開します。$ aws configservice start-configuration-recorder --configuration-recorder-nameconfigRecorderName
設定レコーダーを削除するには
-
delete-configuration-recorderコマンドを使用します。$ aws configservice delete-configuration-recorder --configuration-recorder-namedefault
設定レコーダーのドリフト検出
AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。例えば、この CI は、AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。
AWS::Config::ConfigurationRecorder リソースタイプは AWS Config のシステムリソースタイプで、このリソースタイプの記録は、サポートされているすべてのリージョンにおいて、デフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。
設定レコーダーのドリフト検出は、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
