の手動セットアップAWS Config - AWS Config
ステップ 1: 設定ステップ 2: ルールステップ 3: 確認詳細情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の手動セットアップAWS Config

開始方法ワークフローでは、セットアッププロセスのすべての手動選択を確認して、AWS Configコンソールの使用を開始できます。簡単な開始プロセスについては、「ワンクリックセットアップ」を参照してください。

Get started を使用して コンソールAWS Configでセットアップするには

  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/config/home でAWS Configコンソールを開きます。

  2. [開始する] を選択します。

セットアップページには 3 つのステップがあります。以下に、[Get started] (使用開始) を選択した後の手順の内訳を示します。

  • 設定:AWS Configコンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。

  • ルール:AWS リージョンサポートAWS Configルールでは、このステップを使用して、アカウントに追加できる初期管理ルールを設定できます。設定後、AWS Configは選択したルールに照らしてAWSリソースを評価します。追加のルールを作成したり、既存のルールを更新したり、設定後にアカウントで更新できます。

  • 確認: 設定の詳細を確認します。

ステップ 1: 設定

記録方法

[記録方法] セクションで、記録方法を選択します。AWS Config記録するAWSリソースを指定できます。

All resource types with customizable overrides

このリージョンで現在および将来サポートされているすべてのリソースタイプの設定変更を記録するAWS Configように を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[サポートされるリソースタイプ] を参照してください。

  • デフォルト設定

    現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「Recording Frequency」を参照してください。

    • 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録AWS Configします。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Managerは、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

  • 上書き設定

    特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

Specific resource types

指定したリソースタイプのみの設定変更を記録するAWS Configように を設定します。

  • 特定のリソースタイプ

    記録するリソースタイプとその頻度を選択します。詳細については、「Recording Frequency」を参照してください。

    • 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録AWS Configします。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Managerは、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

リソースを記録する際の考慮事項

AWS Config評価数が多い

AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録AWS Configするために選択したアカウント内のすべてのリソースで評価AWS Configを実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Configのアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するよう設定レコーダーを設定するか、またはAWS Configをオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

Considerations: All resource types with customizable overrides

グローバルに記録するリソースタイプ | Aurora グローバルクラスターは、最初は記録に含められます

AWS::RDS::GlobalCluster リソースタイプは、設定レコーダーが有効になっているサポートされているすべてのAWS Configリージョンに記録されます。

すべての有効なリージョンで AWS::RDS::GlobalCluster を記録しない場合、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。

グローバルリソースタイプ | IAM リソースタイプは、最初は記録から除外されます。

コスト削減のため、グローバル IAM リソースタイプは、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。[削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。

さらに、グローバル IAM リソースタイプ (AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、および AWS::IAM::Policy) は、2022 年 2 月AWS Config以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS「リソースの記録 | グローバルリソース」を参照してください。

制限

最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。

次のリソースタイプに日次記録を指定することはできません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

利用可能なリージョン

が追跡AWS Configするリソースタイプを指定する前に、Resource Coverage by Region Availability をチェックして、リソースタイプがセットアップしたAWSリージョンでサポートされているかどうかを確認しますAWS Config。リソースタイプが少なくとも 1 つのリージョンAWS Configで でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でもAWS Config、 でサポートされているすべてのAWSリージョンでそのリソースタイプの記録を有効にできますAWS Config。

制限

すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。

次のリソースタイプに日次頻度はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

データガバナンス

  • データ保持期間では、デフォルトの保持期間を選択してAWS Configデータを 7 年間 (2557) 保持するか、 によって記録された項目のカスタム保持期間を設定しますAWS Config。

    AWS Configでは、 の保持期間を指定してデータを削除できますConfigurationItems。保持期間を指定すると、AWS Configは ConfigurationItems を指定された期間保持します。最小 30 日から最大 7 年 (2557 日) の期間を選択できます。 は、指定した保持期間より古いデータAWS Configを削除します。

  • の IAM ロールAWS Configでは、アカウントから既存のAWS Configサービスにリンクされたロールまたは IAM ロールを選択します。

    • サービスにリンクされたロールは によって事前定義AWS Configされており、サービスが他のAWSサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

      注記

      推奨: サービスにリンクされたロールを使用する

      サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、AWS Configが予想どおりに実行するのに必要なすべてのアクセス許可を追加します。

    • それ以外の場合は、既存のロールとアクセス許可ポリシーの 1 つから IAM ロールを選択します。

      注記

      ポリシーとコンプライアンスの結果

      で管理される IAM ポリシーやその他のポリシーは、AWS Configがリソースの設定変更を記録するアクセス許可を持っているかどうかに影響を与える可能性があります。 AWS Organizationsまた、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図するAWS Configの使用方法と合致していることを確認してください。

      IAM ロール再利用時に最小限のアクティビティ許可を維持する

      やAWS ConfigなどのAWS Security Hub CSPMを使用するAWSサービスを使用しAWS Control Tower、IAM ロールがすでに作成されている場合は、セットアップAWS Config時に使用する IAM ロールが既存の IAM ロールと同じ最小限のアクセス許可を保持していることを確認してください。これを実行して、他のAWSサービスが期待どおりに実行されるようにする必要があります。

      たとえば、 に S3 オブジェクトAWS Configの読み取りを許可する IAM ロールAWS Control Towerがある場合は、セットアップ時に使用する IAM ロールに同じアクセス許可が付与されていることを確認してくださいAWS Config。そうしないと、AWS Control Towerの動作に支障をきたす可能性があります。

配信方法

  • [Delivery method] (配信方法) では、AWS Configから設定履歴と設定スナップショットのファイルを送信する先の S3 バケットを選択します。

    • [Create a bucket] (バケットの作成) — [S3 bucket name] (S3 バケット名) に S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの制約と制限」を参照してください。

    • [Choose a bucket from your account] (アカウントからバケットを選択) – [S3 bucket name] (S3 バケット名) で目的のバケットを選択します。

    • [Choose a bucket from another account] (別のアカウントからバケットを選択) — [S3 bucket name] (S3 バケット名) にバケット名を入力します。

      注記

      バケットのアクセス許可

      別のアカウントからバケットを選択する場合、そのバケットにはアクセス許可を付与するポリシーが必要ですAWS Config。詳細については、「AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可」を参照してください。

  • Amazon SNS トピックで、設定変更と通知を Amazon SNS トピックにストリームして、設定履歴配信、設定スナップショット配信、コンプライアンスなどの通知AWS Configを送信するようにします。

  • Amazon SNS AWS Configトピックにストリーミングすることを選択した場合は、ターゲットトピックを選択します。

    • [Create a topic] (トピックの作成) — [Topic Name] (トピック名) に SNS トピックの名前を入力します。

    • [Choose a topic from your account] (アカウントからトピックを選択) — [Topic Name] (トピック名) で目的のトピックを選択します。

    • [Choose a topic from another account] (別のアカウントからトピックを選択) – [Topic ARN] (トピック ARN) にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントからトピックを選択する場合、トピックにはアクセス許可を付与するポリシーが必要ですAWS Config。詳細については、「Amazon SNS トピックへのアクセス許可」を参照してください。

      注記

      Amazon SNS トピックのリージョン

      Amazon SNS トピックは、設定したリージョンと同じリージョンに存在する必要がありますAWS Config。

ステップ 2: ルール

ルールをサポートするリージョンAWS Configで を設定する場合は、次へ を選択します。

ステップ 3: 確認

AWS Configセットアップの詳細を確認します。戻って各セクションの変更を編集できます。確認を選択して設定を完了しますAWS Config。

詳細情報

アカウント内の既存のリソースの検索とリソースの設定の理解については、「Looking up Resources」、「Viewing Compliance Informance」、「Viewing Compliance Informance」を参照してください。

Amazon Simple Queue Service を使用して、プログラムでAWSリソースをモニタリングすることもできます。詳細については、「Amazon SQS によるAWSリソース変更のモニタリング」を参照してください。