リソース検出リソーストラッキング設定項目の配信へのアクセスを制御するAWS Config

AWS Configの仕組み

AWS Configは、アカウントAWS内のAWSリソースの設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

An AWSresource は、Amazon Elastic Compute Cloud (EC2) インスタンスAWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、で操作できるエンティティです。でサポートされているAWSリソースの完全なリストについてはAWS Config、「」を参照してくださいでサポートされているリソースタイプ AWS Config。

この画像は、AWS Configの仕組みの概要を示しています。さまざまなAWSリソースからへの情報の流れを示しAWS Config、設定データを Amazon S3 バケットに保存します。このプロセスには、設定レコーダー、AWS Configルール、および配信チャネルが含まれます。目標は、AWS環境内のリソース設定を追跡および管理することです。

リソース検出

有効にするとAWS Config、まずアカウントに存在するサポートされているAWSリソースを検出し、リソースごとに設定項目を生成します。

AWS Configは、リソースの設定が変更されると設定項目も生成し、設定レコーダーを起動したときのリソースの設定項目の履歴レコードを保持します。デフォルトでは、はリージョンでサポートされているすべてのリソースの設定項目AWS Configを作成します。サポートされているすべてのリソースの設定項目AWS Configを作成しない場合は、追跡するリソースタイプを指定できます。

が追跡AWS Configするリソースタイプを指定する前に、Resource Coverage by Region Availability をチェックして、リソースタイプがセットアップするAWSリージョンでサポートされているかどうかを確認しますAWS Config。リソースタイプが少なくとも 1 つのリージョンAWS Configででサポートされている場合は、指定したリソースタイプがセットアップしているリージョンをサポートしていない場合でもAWS Config、でサポートされているすべてのAWSリージョンでそのリソースタイプの記録を有効にできますAWS Config。

リソーストラッキング

AWS Configは、アカウント内の各リソースの Describe API コールまたは List API コールを呼び出すことで、リソースに対するすべての変更を追跡します。このサービスでは、その同じ API コールを使用して、すべての関連リソースの設定詳細をキャプチャします。

例えば、VPC セキュリティグループから Egress ルールを削除するAWS Configと、はセキュリティグループで Describe API コールを呼び出します。AWS Config次に、はセキュリティグループに関連付けられたすべてのインスタンスで Describe API コールを呼び出します。セキュリティグループ (リソース) と各インスタンス (関連リソース) の更新された設定が設定項目として記録され、設定のストリーミングで Amazon Simple Storage Service (Amazon S3) バケットに配信されます。

AWS Configは、API によって開始されなかった設定変更も追跡します。AWS Configは、リソース設定を定期的に調べ、変更された設定の設定項目を生成します。

AWS Configルールを使用している場合、は必要な設定についてAWSリソース設定AWS Configを継続的に評価します。ルールに応じて、AWS Configは設定の変更に応じて、または定期的にリソースを評価します。各ルールは、ルールの評価ロジックが含まれているAWS Lambda関数に関連付けられます。がリソースAWS Configを評価すると、ルールのAWS Lambda関数が呼び出されます。この関数は、評価されたリソースのコンプライアンスステータスを返します。リソースがルールの条件に違反した場合、はリソースとルールを非準拠としてAWS Configフラグ付けします。リソースのコンプライアンスステータスが変更されると、は Amazon SNS トピックに通知AWS Configを送信します。

設定項目の配信

AWS Configは、次のいずれかのチャネルを介して設定項目を配信できます。

Amazon S3 バケット

AWS ConfigはAWSリソースの設定の変更を追跡し、指定した Amazon S3 バケットに更新された設定の詳細を定期的に送信します。がAWS Config記録するリソースタイプごとに、6 時間ごとに設定履歴ファイルを送信します。各設定履歴ファイルには、その 6 時間の間に変更があったリソースの詳細が含まれています。各ファイルに含まれるリソースタイプは 1 つです (Amazon EC2 インスタンスや Amazon EBS ボリュームなど)。設定変更が行われない場合、AWS Configはファイルを送信しません。

AWS Configは、CLI で deliver-config-snapshot コマンドを使用する場合、またはAWS Config API AWSで DeliverConfigSnapshot アクションを使用する場合、設定スナップショットを Amazon S3 バケットに送信します。設定スナップショットには、AWS アカウントでAWS Configが記録したすべてのリソースの設定詳細が含まれています。設定履歴ファイルと設定スナップショットは JSON 形式です。

注記

AWS Configは、設定履歴ファイルと設定スナップショットを指定された S3 バケットにのみ配信します。S3 バケット内のオブジェクトのライフサイクルポリシーは変更AWS Configしません。ライフサイクルポリシーを使用して、オブジェクトを削除するか、Amazon Glacier にアーカイブするかを指定できます。詳細については、Amazon Simple Storage Service Console ユーザーガイド中のライフサイクル設定の管理を参照してください。ブログ投稿の「Archiving Amazon S3 Data to Amazon Glacier」も参照してください。

Amazon Simple Notification Service (Amazon SNS) トピックは、E メールアドレスなどのサブスクライブしているエンドポイントやクライアントにメッセージ (または通知) を配信するために Amazon SNS で使用する通信チャネルです。その他の種類の Amazon SNS 通知として、携帯電話のアプリへのプッシュ通知メッセージ、SMS 対応の携帯電話やスマートフォンへのショートメッセージサービス (SMS) 通知、HTTP POST リクエストなどがあります。最適な結果を得るために、SNS トピックの通知エンドポイントとして Amazon SQS を使用し、通知内の情報をプログラムで処理します。

AWS Configは、指定した Amazon SNS トピックを使用して通知を送信します。受信する通知の種類は、次の例に示すように、メッセージ本文の messageType キーの値で示されます。


"messageType": "ConfigurationHistoryDeliveryCompleted"

通知のメッセージタイプは、以下のいずれかです。

メッセージタイプ	説明
ComplianceChangeNotification	がAWS Config評価するリソースのコンプライアンスタイプが変更されました。コンプライアンスタイプは、リソースが特定のAWS Configルールに準拠しているかどうかを示し、メッセージ内の `ComplianceType` キーで表されます。メッセージには、比較のために `newEvaluationResult` オブジェクトと `oldEvaluationResult` オブジェクトが含まれます。
ConfigRulesEvaluationStarted	AWS Configは、指定されたリソースに対するルールの評価を開始しました。
ConfigurationSnapshotDeliveryStarted	AWS Configは、Amazon S3 バケットへの設定スナップショットの配信を開始しました。Amazon S3 バケットの名前は、メッセージの `s3Bucket` キーで示されます。
ConfigurationSnapshotDeliveryCompleted	AWS Configは、設定スナップショットを Amazon S3 バケットに正常に配信しました。
ConfigurationSnapshotDeliveryFailed	AWS Configは、設定スナップショットを Amazon S3 バケットに配信できませんでした。
ConfigurationHistoryDeliveryCompleted	AWS Configは、設定履歴を Amazon S3 バケットに正常に配信しました。
ConfigurationItemChangeNotification	リソースが作成または削除されるか、設定が変更されました。このメッセージには、この変更に対してがAWS Config作成する設定項目の詳細と、変更のタイプが含まれます。これらの通知は、変更後数分以内に配信され、まとめて設定ストリームと呼ばれます。
OversizedConfigurationItemChangeNotification	このメッセージタイプは、設定項目の変更通知が Amazon SNS の最大許容サイズを超えた時に配信されます。メッセージには設定項目の概要が含まれます。SMS メッセージを除き、Amazon SNS メッセージには、XML、JSON、フォーマットされていないテキストなど、最大 256 KB のテキストデータを含めることができます。完全な通知の参照先は、指定した Amazon S3 バケット内にあります。
OversizedConfigurationItemChangeDeliveryFailed	AWS Configは、オーバーサイズの設定項目変更通知を Amazon S3 バケットに配信できませんでした。

通知の例については、「AWS Config から Amazon SNS トピックに送信される通知」を参照してください。Amazon SNS の詳細については、Amazon Simple Notification Service デベロッパーガイドを参照してください。

注記

最新の設定変更が表示されないのはなぜですか？

AWS Config通常、は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がしばらく経過しても解決しない場合は、に連絡してサポート、Amazon CloudWatch でサポートされているAWS Configメトリクスを提供します。これらの使用状況メトリクスの詳細については、「AWS Config Usage and Success Metrics」を参照してください。

へのアクセスを制御するAWS Config

AWS Identity and Access Managementは、Amazon Web Services (AWS) のお客様がユーザーとユーザーのアクセス許可を管理できるようにするウェブサービスです。

アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。

のユーザーとグループAWS IAM アイデンティティセンター:

アクセス許可セットを作成します。「AWS IAM アイデンティティセンターユーザーガイド」の「アクセス許可セットを作成する」の手順に従ってください。
IAM 内で、ID プロバイダーによって管理されているユーザー:

ID フェデレーションのロールを作成します。詳細については IAM ユーザーガイド のサードパーティー ID プロバイダー (フェデレーション) 用のロールを作成するを参照してください。
IAM ユーザー:
- ユーザーが担当できるロールを作成します。手順については IAM ユーザーガイド の IAM ユーザーのロールの作成を参照してください。
- (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については IAM ユーザーガイド のユーザー (コンソール) へのアクセス権限の追加を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Config とは?

用語と概念