AWS Config の手動セットアップ - AWS Config
ステップ 1: 設定ステップ 2: ルールステップ 3: 確認詳細については

AWS Config の手動セットアップ

[Get started] (使用開始) ワークフローでは、セットアッププロセスをすべて手動で選択して、AWS Config コンソールの使用を開始できます。簡単な開始プロセスについては、「ワンクリックセットアップ」を参照してください。

[Get started] (使用開始) を使ってコンソールで AWS Config をセットアップするには

  1. AWS マネジメントコンソール にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/home) を開きます。

  2. [開始する] を選択します。

セットアップページには 3 つのステップがあります。以下に、[Get started] (使用開始) を選択した後の手順の内訳を示します。

  • 設定: AWS Config コンソールによるリソースとロールの記録方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。

  • ルール: AWS Config ルールをサポートしている AWS リージョンの場合、このステップでアカウントに追加できる初期マネージドルールを設定できます。設定後に、AWS Config は選択されたルールを適用して AWS リソースを評価します。追加のルールを作成したり、既存のルールを更新したり、設定後にアカウントで更新できます。

  • 確認: 設定の詳細を確認します。

ステップ 1: 設定

記録方法

[記録方法] セクションで、記録方法を選択します。AWS Config が記録する AWS リソースを指定できます。

All resource types with customizable overrides

このリージョンで現在および将来サポートされるすべてのリソースタイプの設定変更を記録するように AWS Config を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[サポートされるリソースタイプ] を参照してください。

  • デフォルト設定

    現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「Recording Frequency」を参照してください。

    • 継続的な記録 - AWS Config は変更が発生するたびに設定の変更を継続的に記録します。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

  • 上書き設定

    特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

Specific resource types

指定したリソースタイプの設定変更のみを記録するよう、AWS Config を設定します。

  • 特定のリソースタイプ

    記録するリソースタイプとその頻度を選択します。詳細については、「Recording Frequency」を参照してください。

    • 継続的な記録 - AWS Config は変更が発生するたびに設定の変更を継続的に記録します。

    • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

    注記

    AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

リソースを記録する際の考慮事項

AWS Config 評価数が多い

AWS Config で記録した最初の月のアカウントアクティビティが、その後の月と比較して増加していることに気付くかもしれません。最初のブートストラッププロセス中に、AWS Config は、AWS Config の記録対象として選択したアカウント内のすべてのリソースに対して評価を実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling があります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するよう設定レコーダーを設定するか、または AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

Considerations: All resource types with customizable overrides

グローバルに記録するリソースタイプ | Aurora グローバルクラスターは、最初は記録に含められます

AWS::RDS::GlobalCluster リソースタイプは、設定レコーダーが有効で、サポートされているすべての AWS Config リージョンで記録されます。

すべての有効なリージョンで AWS::RDS::GlobalCluster を記録しない場合、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。

グローバルリソースタイプ | IAM リソースタイプは、最初は記録から除外されます

コスト削減のため、グローバル IAM リソースタイプは、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。[削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。

さらに、グローバル IAM リソースタイプ (AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、および AWS::IAM::Policy) は、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。これらのリージョンのリストについては、「Recording AWS Resources | Global Resources」を参照してください。

制限

最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。

次のリソースタイプに日次記録を指定することはできません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

利用可能なリージョン

追跡する AWS Config のリソースタイプを指定する前に、「利用可能なリージョン別リソースカバレッジ」を確認して、AWS Config を設定している AWS リージョンでそのリソースタイプがサポートされているかどうかを確認してください。リソースタイプが少なくとも 1 つのリージョンで AWS Config によりサポートされている場合、指定したリソースタイプが AWS Config を設定している AWS リージョンでサポートされていない場合でも、AWS Config によってサポートされているすべてのリージョンでそのリソースタイプの記録を有効にできます。

制限

すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。

次のリソースタイプに日次頻度はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

データガバナンス

  • データ保持期間は、7 年 (2,557 日) AWS Config データを保持するデフォルトの保持期間を選択するか、AWS Config によって記録されたアイテムにカスタム保持期間を設定します。

    AWS Config では、 の保持期間を指定して、データを削除することができます。ConfigurationItems保持期間を指定すると、AWS Config は ConfigurationItems を指定された期間保持します。期間は、最小 30 日~最大 7 年 (2557 日間) の範囲で選択できます。指定した保持期間以前のデータは、AWS Config によって削除されます。

  • [AWS Config の IAM ロール] には、既存の AWS Config サービスリンクロールか、アカウントから IAM ロールを選択します。

    • サービスにリンクされたロールは、AWS Config によって事前に定義されたロールであり、サービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

      注記

      推奨: サービスにリンクされたロールを使用する

      サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、AWS Config が予想どおりに実行するのに必要なすべてのアクセス許可を追加します。

    • それ以外の場合は、既存のロールとアクセス許可ポリシーの 1 つから IAM ロールを選択します。

      注記

      ポリシーとコンプライアンスの結果

      IAM ポリシーと、AWS Organizations で管理されるその他のポリシーが、AWS Config がリソースの設定変更の記録を許可されるかどうかに影響する可能性があります。また、リソースの設定はルールで直接評価され、評価の実行時にはこれらのポリシーは考慮されません。適用されるポリシーが、意図する AWS Config の使用方法と合致していることを確認してください。

      IAM ロール再利用時に最小限のアクティビティ許可を維持する

      AWS Security Hub CSPM または AWS Control Tower など、AWS Config を使用する AWS サービス使用する場合、かつ IAM ロールがすでに作成されている場合、AWS Config を設定するときに使用する IAM ロールが既存の IAM ロールと同じ最小アクセス許可を保持していることを確認してください。その他の AWS サービスは引き続き期待どおりに実行されるようにするため、これを行う必要があります。

      例えば、AWS Control Tower に AWS Config が S3 オブジェクトを読み取ることを許可する IAM ロールがある場合、AWS Config の設定時に使用する IAM ロールと同じアクセス許可が付与されていることを確認してください。そうしないと、AWS Control Tower の動作に支障をきたす可能性があります。

配信方法

  • [Delivery method] (配信方法) では、AWS Config から設定履歴と設定スナップショットのファイルを送信する先の S3 バケットを選択します。

    • [Create a bucket] (バケットの作成) — [S3 bucket name] (S3 バケット名) に S3 バケットの名前を入力します。

      Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの制約と制限」を参照してください。

    • [Choose a bucket from your account] (アカウントからバケットを選択) – [S3 bucket name] (S3 バケット名) で目的のバケットを選択します。

    • [Choose a bucket from another account] (別のアカウントからバケットを選択) — [S3 bucket name] (S3 バケット名) にバケット名を入力します。

      注記

      バケットのアクセス許可

      別のアカウントのバケットを選択する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「AWS Config 配信チャネル用の Amazon S3 バケットのアクセス許可」を参照してください。

  • [Amazon SNS topic] (Amazon SNS トピック) で、[Stream configuration changes and notifications to an Amazon SNS topic] (Amazon SNS トピックへのストリーム設定の変更と通知) を選択して、設定履歴の配信、設定スナップショットの配信、コンプライアンスなどの通知を AWS Config から送信します。

  • AWS Config ストリームから Amazon SNS トピックにストリーミングすることを選択した場合は、ターゲットのトピックを選択します。

    • [Create a topic] (トピックの作成) — [Topic Name] (トピック名) に SNS トピックの名前を入力します。

    • [Choose a topic from your account] (アカウントからトピックを選択) — [Topic Name] (トピック名) で目的のトピックを選択します。

    • [Choose a topic from another account] (別のアカウントからトピックを選択) – [Topic ARN] (トピック ARN) にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントのトピックを選択する場合、そのトピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNS トピックへのアクセス許可」を参照してください。

      注記

      Amazon SNS トピックのリージョン

      Amazon SNS トピックのリージョンは、AWS Config を設定したリージョンと同じであることが必要です。

ステップ 2: ルール

ルールをサポートするリージョンで AWS Config を設定している場合は、[次へ] を選択します。

ステップ 3: 確認

AWS Config の設定の詳細を確認します。戻って各セクションの変更を編集できます。AWS Config の設定を完了するには、[Confirm] (確認) を選択します。

詳細については

アカウント内の既存のリソースの検索とリソースの設定の理解については、「Looking up Resources」、「Viewing Compliance Informance」、「Viewing Compliance Informance」を参照してください。

また、Amazon Simple Queue Service を使用して、AWS リソースをプログラムでモニタリングすることもできます。詳細については、「Amazon SQS を使用した AWS リソースの変更のモニタリング」を参照してください。