AWS Config コンソールでのリソースの記録 - AWS Config
リソースを記録する際の考慮事項

AWS Config コンソールでのリソースの記録

AWS Config コンソールを使用して、AWS Config がカスタマー管理設定レコーダーで記録するリソースのタイプを選択できます。

リソースを選択するには

  1. AWS マネジメントコンソール にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/home) を開きます。

  2. 左側のナビゲーションペインの [設定] を選択します。

  3. [カスタマー管理レコーダー] タブで、[編集] を選択します。

  4. [記録方法] セクションで、記録方法を選択します。AWS Config が記録する AWS リソースを指定できます。

    All resource types with customizable overrides

    このリージョンで現在および将来サポートされるすべてのリソースタイプの設定変更を記録するように AWS Config を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[サポートされるリソースタイプ] を参照してください。

    • デフォルト設定

      現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「Recording Frequency」を参照してください。

      • 継続的な記録 - AWS Config は変更が発生するたびに設定の変更を継続的に記録します。

      • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

      注記

      AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    • 上書き設定

      特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

    Specific resource types

    指定したリソースタイプの設定変更のみを記録するよう、AWS Config を設定します。

    • 特定のリソースタイプ

      記録するリソースタイプとその頻度を選択します。詳細については、「Recording Frequency」を参照してください。

      • 継続的な記録 - AWS Config は変更が発生するたびに設定の変更を継続的に記録します。

      • 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。

      注記

      AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

      リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。

  5. [保存] を選択して変更を保存します。

リソースを記録する際の考慮事項

AWS Config 評価数が多い

AWS Config で記録した最初の月のアカウントアクティビティが、その後の月と比較して増加している場合があります。最初のブートストラッププロセス中に、AWS Config は、AWS Config の記録対象として選択したアカウント内のすべてのリソースに対して評価を実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling があります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するようカスタマー管理設定レコーダーを設定するか、AWS Config をオフにした別のアカウントでこのタイプのワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

Considerations: All resource types with customizable overrides

グローバルに記録するリソースタイプ | Aurora グローバルクラスターは、最初は記録に含められます

AWS::RDS::GlobalCluster リソースタイプは、顧客管理設定レコーダーが有効で、サポートされているすべての AWS Config リージョンで記録されます。

すべての有効なリージョンで AWS::RDS::GlobalCluster を記録しない場合、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。

グローバルリソースタイプ | IAM リソースタイプは、最初は記録から除外されます

コスト削減のため、グローバル IAM リソースタイプは、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。[削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。

さらに、グローバル IAM リソースタイプ (AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、および AWS::IAM::Policy) は、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。これらのリージョンのリストについては、「Recording AWS Resources | Global Resources」を参照してください。

制限

最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。

次のリソースタイプに日次記録はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Considerations: Specific resource types

利用可能なリージョン

追跡する AWS Config のリソースタイプを指定する前に、「利用可能なリージョン別リソースカバレッジ」を確認して、AWS Config を設定している AWS リージョンでそのリソースタイプがサポートされているかどうかを確認してください。リソースタイプが少なくとも 1 つのリージョンで AWS Config によりサポートされている場合、指定したリソースタイプが AWS Config を設定している AWS リージョンでサポートされていない場合でも、AWS Config によってサポートされているすべてのリージョンでそのリソースタイプの記録を有効にできます。

制限

すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。

次のリソースタイプに日次頻度はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder