AWS Config での AWS リソースの記録 - AWS Config
考慮事項リージョナルリソースとグローバルリソースAWS Config ルールとグローバルリソースタイプ記録頻度記録対象外のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config での AWS リソースの記録

AWS Config は、サポートされているリソースタイプの作成、変更、削除を継続的に検出します。AWS Config では、これらのイベントを設定項目 (CI) として記録します。

すべてのサポートされているリソースタイプの変更、またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。サポートされている AWS Config が記録できるリソースタイプの一覧については、「でサポートされているリソースタイプAWS Config」を参照してください。

トピック

考慮事項

AWS Config 評価数が多い

AWS Config で記録した最初の月のアカウントアクティビティが、その後の月と比較して増加している場合があります。最初のブートストラッププロセス中に、AWS Config は、AWS Config の記録対象として選択したアカウント内のすべてのリソースに対して評価を実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling があります。

一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するようカスタマー管理設定レコーダーを設定するか、AWS Config をオフにした別のアカウントでこのタイプのワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

利用可能なリージョン

追跡する AWS Config のリソースタイプを指定する前に、「利用可能なリージョン別リソースカバレッジ」を確認して、AWS Config を設定している AWS リージョンでそのリソースタイプがサポートされているかどうかを確認してください。

リソースタイプが少なくとも 1 つのリージョンで AWS Config によりサポートされている場合、指定したリソースタイプが AWS Config を設定している AWS リージョンでサポートされていない場合でも、AWS Config によってサポートされているすべてのリージョンでそのリソースタイプの記録を有効にできます。

リージョナルリソースとグローバルリソースの違い

リージョナルリソース

リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。特定の AWS リージョン にリージョナルリソースを作成すると、リージョナルリソースはそのリージョンに存在するようになります。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。例えば、AWS マネジメントコンソール を使用して Amazon EC2 インスタンスを作成するには、インスタンスを作成する AWS リージョン を選択 します。AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、--region パラメータを含めます。各 AWS SDK には、オペレーションで使用するリージョンを指定する独自の等価メカニズムがあります。

リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。

コンソールまたは AWS CLI コマンドに別の AWS リージョン を指定した場合、以前のリージョンで表示できたリソースの表示や操作ができなくなります。

リージョナルリソースの Amazon リソースネーム (ARN) を表示すると、そのリソースを含むリージョンが ARN の 4 番目のフィールドとして指定されています。例えば、Amazon EC2 インスタンスはリージョナルリソースです。以下に示しているのは、us-east-1 リージョンに存在する Amazon EC2 インスタンス用の ARN の例です。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
グローバルリソース

一部の AWS のサービスのリソースはグローバルリソースであり、任意の場所 からリソースを利用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用する際に --region を指定しません。

グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。

例えば、Amazon Aurora グローバルクラスター (AWS::RDS::GlobalCluster) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。Amazon Relational Database Service (Amazon RDS) 自体はリージョンごとに構成されている一方で、グローバルクラスターを生成した特定のリージョンによってグローバルクラスターに影響を与えないという利点があります。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。

グローバルリソースの Amazon リソースネーム (ARN) には、リージョンは含まれません。以下のグローバルクラスターの ARN の例のように、4 番目のフィールドは空です。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

2022 年 2 月より後に AWS Config にオンボードされたグローバルリソースタイプは、商用パーティションについてはサービスのあるホームリージョンのみ、GovCloud パーティションについては AWS GovCloud (米国西部) のみで記録されるようになります。これらの新しいグローバルリソースタイプの設定項目 (CI) は、ホームリージョンおよび AWS GovCloud (米国西部) 以外では表示できません。

2022 年 2 月より前にオンボードされたグローバルリソースタイプ (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、および AWS::IAM::User) は変更されません。これらグローバル IAM リソースの記録は、2022 年 2 月より前に AWS Config がサポートされていたすべてのリージョンで有効にできます。これらのグローバル IAM リソースは、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。

グローバルリソースタイプ | IAM リソース

IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーの IAM リソースタイプはグローバルリソースです。これらのリソースタイプは、2022 年 2 月より前に AWS Config が利用可能であったリージョンで、AWS Config によって記録されます。グローバル IAM リソースタイプを記録できないリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、アジアパシフィック (タイ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) イスラエル (テルアビブ)、メキシコ (中部)、および中東 (アラブ首長国連邦) が含まれます。

設定項目 (CI) の重複を防ぐために、サポートされる 1 つのリージョンで一度にグローバル IAM リソースを記録することだけを考慮する必要があります。また、不必要な評価や API スロットリングを回避するのにも役立ちます。

グローバルリソースタイプ | ホームリージョンのみ

Amazon Elastic Container Registry Public、AWS Global Accelerator、Amazon Route 53、Amazon CloudFront、および AWS WAF のサービスのグローバルリソースは、グローバルリソースタイプのホームリージョンで AWS Config によってのみ記録されます。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できます。ただし、設定項目 (CI) は商用パーティションまたは、AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) のホームリージョンにのみ記録されます。

グローバルリソースタイプのホームリージョン
AWS のサービス リソースタイプの値 ホームリージョン
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 米国東部 (バージニア北部) リージョン
AWS Global Accelerator AWS::GlobalAccelerator::Listener 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::EndpointGroup 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::Accelerator 米国西部 (オレゴン) リージョン
Amazon Route 53 AWS::Route53::HostedZone 米国東部 (バージニア北部) リージョン
AWS::Route53::HealthCheck 米国東部 (バージニア北部) リージョン
Amazon CloudFront AWS::CloudFront::Distribution 米国東部 (バージニア北部) リージョン
AWS WAF AWS::WAFv2::WebACL 米国東部 (バージニア北部) リージョン
グローバルリソースタイプ | Aurora グローバルクラスター

AWS::RDS::GlobalCluster は、カスタマー管理設定レコーダーが有効で、サポートされているすべての AWS Config リージョンで記録されるグローバルリソースです。このグローバルリソースタイプは、あるリージョンでこのリソースの記録を有効にした場合、AWS Config が有効にされているすべてのリージョンでこのリソースタイプの設定項目 (CI) を記録するという点で固有です。

有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合は、次のいずれかの AWS Config コンソールの記録方法を使用します。

  • [カスタマイズ可能なオーバーライドですべてのリソースタイプを記録する]、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。

  • [特定のリソースタイプを記録する] ()。

有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合、API/CLI に対して次のいずれかの記録方法を使用します。

  • 除外を伴う、現在および将来のリソースタイプを記録する (EXCLUSION_BY_RESOURCE_TYPES)

  • [特定のリソースタイプを記録する]INCLUSION_BY_RESOURCE_TYPES ()。

AWS Config ルールとグローバルリソースタイプ

2022 年 2 月以前にオンボーディングされたグローバル IAM リソースタイプ (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、および AWS::IAM::User) は、2022 年 2 月より前に AWS Config が利用可能だったリージョンで、AWS Config によってのみ記録できます。これらのグローバル IAM リソースタイプは、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。これらのリージョンのリストについては、「Recording AWS Resources | Global Resources」を参照してください。

少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。

2022 年 2 月より前のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールと適合のみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「List of AWS Config Managed Rules by Region Availability」を参照してください。これは、AWS Config ルール、組織の AWS Config ルール、および AWS Security Hub CSPM や AWS Control Tower など、他の AWS サービスによって作成されたルールにも適用されます。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。

2022 年 2 月より後のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

2022 年 2 月以降に AWS Config の記録にオンボードされたグローバルリソースタイプは、商用パーティションについてはサービスのあるホームリージョンのみ、AWS GovCloud (US) パーティションについては AWS  GovCloud (米国西部) のみで記録されるようになります。リソースタイプのホームリージョンで、これらのグローバルリソースを範囲とする AWS Config ルールと適合パックをデプロイします。詳細については、「Home Regions for Global Resource Types」を参照してください。

AWS Config の記録頻度

AWS Config は、継続的な記録と日次記録をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。録画頻度を変更する手順については、「Changing Recording Frequency」を参照してください。

継続的な記録

継続的な記録のメリットには次が含まれます。

  • リアルタイムモニタリング: 継続的な記録は、不正な変更や予期しない変更を即時に検出できるため、セキュリティとコンプライアンスへの取り組みを強化できます。

  • 詳細な分析: 継続的な記録は、リソースへの設定変更が発生したときに詳細に分析できるため、その時点でのパターンや傾向を識別できます。

日次記録

日次記録のメリットには次が含まれます。

  • 最小限の中断: 日次記録により、情報の流れを管理しやすくなるため、通知の頻度とアラートの疲労を軽減できます。

  • コスト効率: 日次記録は、リソースへの変更をより低い頻度で柔軟に記録できるため、記録される設定変更の数に関連するコストを削減できます。

注記

AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

記録対象外のリソース

リソースが記録されない場合、AWS Config は無料でそのリソースの作成と削除のみを取り込み、他の詳細を取り込みません。記録対象外のリソースが作成または削除されると、AWS Config は通知を送信するとともに、イベントをリソースの詳細ページに表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

記録対象のリソースについて AWS Config が提供する関係情報は、記録対象外のリソースのデータが不足しているという理由で制限されることはありません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。

IAM リソースタイプの考慮事項

AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role リソースタイプは、リソースがカスタマー管理設定レコーダーに記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (ResourceNotRecorded) および削除 (ResourceDeletedNotRecorded) の状態をキャプチャします。

記録対象外のリソースの CI 記録スケジュール

ResourceNotRecorded および ResourceDeletedNotRecorded の設定項目 (CI) は、リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、他のリソースタイプよりも頻度が低いカスタマー管理設定レコーダーの定期的なベースライニングプロセス中にのみ記録されます。つまり、作成と削除の通知は、作成時や削除時ではなく、ベースライニングプロセス中に送信されます。

CI 配信とサービスリンクレコーダーの範囲

サービスリンク設定レコーダーの場合、記録範囲により、配信チャネルで設定項目 (CI) を受信するかどうかが決定されます。記録範囲は、設定レコーダーにリンクされているサービスによって設定されます。記録範囲が INTERNAL の場合、配信チャネルで CI を受信しません。