翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
設定レコーダーの使用
設定レコーダーは、スコープ内のリソースタイプに対する設定変更を設定項目 (CIsとして保存します。
設定レコーダーには 2 つのタイプがあります。
| Type | 説明 |
|---|---|
| カスタマーマネージド設定レコーダー | 管理した設定レコーダー。スコープ内のリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 AWS リージョン が実行されている でサポートされているすべてのリソースを記録します。 |
| サービスにリンクされた設定レコーダー | 特定の にリンクされた設定レコーダー AWS のサービス。スコープ内のリソースタイプは、リンクされたサービスによって設定されます。 |
トピック
カスタマーマネージド設定レコーダーに関する考慮事項
リージョンごとにアカウントごとに 1 つのカスタマーマネージド設定レコーダー
カスタマーマネージド設定レコーダーは、それぞれ 1 つのみ持つことができます AWS アカウント AWS リージョン。
デフォルトでは、グローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプが記録されます。
カスタマーマネージド設定レコーダーのデフォルトは、サポートされているすべてのリソースタイプを記録することです。ただし、、AWS::IAM::Role、AWS::IAM::GroupAWS::IAM::Policyおよび AWS::IAM::User のグローバル IAM リソースタイプは除きます。記録に含めるリソースタイプまたは記録から除外するリソースタイプを指定できます。
詳細については、「を使用した AWS リソースの記録 AWS Config」を参照してください。
カスタマーマネージド設定レコーダーの使用には、サービス使用料が課金されます。
がカスタマーマネージド設定レコーダーで設定の記録 AWS Config を開始すると、サービス使用料が課金されます。
料金に関する情報については、[AWS Config
の料金
AWS Systems Manager を使用して組織全体でカスタマーマネージド設定レコーダーを作成する
AWS Systems Manager 高速セットアップを使用して、複数の組織単位 (OUsカスタマーマネージド設定レコーダーを作成し、 AWS ベストプラクティス AWS リージョン を使用できます。
詳細については、「Systems Manager ユーザーガイド」の「高速セットアップを使用して AWS Config 設定レコーダーを作成する」を参照してください。
重要
ポリシーとコンプライアンス結果
で管理される IAM ポリシーやその他のポリシーは、 AWS Config がリソースの設定変更を記録するアクセス許可を持っているかどうかに影響を与える可能性があります。 AWS Organizationsさらに、 ルールはリソースの設定を直接評価し、 ルールは評価の実行時にこれらのポリシーを考慮しません。有効なポリシーが、使用する意図と一致していることを確認してください AWS Config。
設定レコーダーがオフになっている場合、削除されたリソースの古い評価結果は保持される可能性があります
カスタマーマネージド設定レコーダーがオフになっている場合、 AWS Config Config が削除など、指定したリソースの設定の変更を追跡する機能が無効になります。つまり、カスタマーマネージド設定レコーダーがオフになっていると、 は記録がオンになっていないと削除イベントをキャプチャ AWS Config できないため、削除されたリソースの評価結果が古くなる可能性があります。
サービスにリンクされた設定レコーダーに関する考慮事項
AWS Config サービスにリンクされたロールを使用する必要があります
AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。
詳細については、「AWS Config用のサービスリンクロールの使用」を参照してください。
サービスにリンクされた設定レコーダーは常に記録されます
サービスにリンクされた設定レコーダーの記録を停止または開始することはできません。記録を停止するには、サービスにリンクされた設定レコーダーを削除する必要があります。
詳細については、「設定レコーダーの削除」を参照してください。
記録スコープは、設定項目を受信するかどうかを決定します。
記録範囲は、設定レコーダーにリンクされたサービスによって設定され、配信チャネルで設定項目 (CIs) を受信するかどうかを決定します。録画スコープが内部の場合、配信チャネルで CIsを受信しません。
記録範囲によって、サービス料金が請求されるかどうかが決まります。
記録範囲は、設定レコーダーにリンクされたサービスによって設定され、範囲内の設定項目 (CIs) が無料 (INTERNAL) で記録されるか、請求コスト (PAID) に影響するかを決定します。
サポートされる サービス
サービスにリンクされた設定レコーダーは、次のサービスでサポートされています。
| AWS service | サービスプリンシパル | で を使用する利点 AWS Config | 詳細はこちら |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com |
Amazon CloudWatch Observability Admin を使用して、 AWS 組織またはアカウントの CloudWatch のテレメトリ設定の状態を検出して理解できます。 | 詳細については、CloudWatch ユーザーガイド」の「CloudWatch テレメトリ設定の監査」を参照してください。 CloudWatch |
| AWS Security Hub | securityhub.amazonaws.com |
を使用して AWS Security Hub 、セキュリティ検出結果を一元管理し、 AWS アカウント全体でセキュリティ評価を実行できます。サービスにリンクされたレコーダーを使用すると、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチが可能になります。 | 詳細については、「 Security Hub ユーザーガイド」の「Security Hub を有効にする」を参照してください。 |
設定レコーダーのドリフト検出
AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。
例えば、この CI は、 AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。
AWS::Config::ConfigurationRecorder リソースタイプは のシステムリソースタイプ AWS Config であり、このリソースタイプの記録は、サポートされているすべてのリージョンでデフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。
