設定レコーダーの使用
設定レコーダーは、範囲内のリソースタイプの設定変更を設定項目 (CI) として保存します。
設定レコーダーには 2 つのタイプがあります。
| タイプ | 説明 |
|---|---|
| カスタマー管理設定レコーダー | ユーザーが管理する設定レコーダー。範囲に含まれるリソースタイプはユーザーが設定します。デフォルトでは、カスタマー管理設定レコーダーは、AWS Config が実行されている AWS リージョンでサポートされているすべてのリソースを記録します。 |
| サービスリンク設定レコーダー | 特定の AWS のサービスにリンクされた設定レコーダー。範囲に含まれるリソースタイプは、リンクされたサービスによって設定されます。 |
トピック
カスタマー管理設定レコーダーに関する考慮事項
カスタマー管理設定レコーダーは各アカウントでリージョンごとに 1 つ
カスタマー管理設定レコーダーは、各 AWS アカウントで AWS リージョンごとに 1 つのみ持つことができます。
デフォルトでは、グローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプを記録する
カスタマー管理設定レコーダーは、デフォルトでは AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、AWS::IAM::User のグローバル IAM リソースタイプを除き、サポートされているすべてのリソースタイプを記録します。記録に含めるリソースタイプと、記録から除外するリソースタイプをユーザーが指定できます。
詳細については、「AWS Config での AWS リソースの記録」を参照してください。
カスタマー管理設定レコーダーの使用にはサービスの利用料金が発生する
AWS Config でカスタマー管理設定レコーダーによる設定の記録が開始されると、サービスの利用料金が発生します。
料金に関する情報については、[AWS Config の料金
AWS Systems Manager を使用して組織全体でカスタマー管理設定レコーダーを作成する
AWS Systems Manager Quick Setup を使用すると、複数の組織単位 (OU) および AWS リージョン全体で、AWS のベストプラクティスを適用してカスタマー管理設定レコーダーを作成できます。
詳細については、「Systems Manager ユーザーガイド」の「Quick Setup を使用して AWS Config 設定レコーダーを作成する」を参照してください。
重要
ポリシーとコンプライアンスの結果
IAM ポリシーと、AWS Organizations で管理されるその他のポリシーが、AWS Config がリソースの設定変更の記録を許可されるかどうかに影響する可能性があります。また、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図する AWS Config の使用方法と合致していることを確認してください。
設定レコーダーがオフになっている場合、削除されたリソースの古い評価結果が保持されることがある
カスタマー管理設定レコーダーをオフにすると、削除を含むリソースの設定変更を追跡する AWS Config Config の機能は無効になります。つまり、カスタマー管理設定レコーダーをオフにすると、削除されたリソースの古い評価結果が表示されることがあります。これは記録がオンになっていない場合、AWS Config が削除イベントをキャプチャできないためです。
サービスリンク設定レコーダーに関する考慮事項
AWS Config のサービスにリンクされたロールを使用する必要がある
サービスリンク設定レコーダーでは、AWS Config のサービスにリンクされたロールが必要です。
詳細については、「AWS Config のサービスにリンクされたロールの使用」を参照してください。
サービスリンク設定レコーダーは常時記録する
サービスリンクレコーダーの設定は固定されています。設定を直接変更することはできません。レコーダーの起動、停止、更新などの設定は、サービスリンクレコーダーを使用する関連 AWS サービスで変更します。
詳細については、「設定レコーダーの削除」を参照してください。
記録範囲に基づいて、設定項目を受信するかどうかが決定される
記録範囲は設定レコーダーにリンクされた AWS のサービスによって設定され、それに基づいて配信チャネルで設定項目 (CI) を受信するかどうかが決定されます。記録範囲が INTERNAL の場合、配信チャネルで CI を受信しません。
記録範囲に基づいて、サービス料金が請求されるかどうかが決定される
記録範囲は、設定レコーダーにリンクされている AWS のサービスによって設定され、範囲内の設定項目 (CI) が無料で記録されるか (INTERNAL)、請求料金に影響するか (PAID) を決定します。
レコーダー間の記録頻度の優先順位
カスタマー管理設定レコーダーと、記録範囲が「PAID」のサービスリンク設定レコーダーが共に同じリソースタイプを記録している場合、記録頻度が高いレコーダーが優先されます。例えば、カスタマー管理レコーダーが日次記録に設定されている一方で、「PAID」の記録範囲で継続的な記録を行うサービスリンクレコーダーを使用する AWS サービスを有効にした場合、影響を受けるリソースタイプが継続的に記録されます。
つまり、カスタマー管理レコーダーの設定に「日次記録」と表示されていても、両方のレコーダーの範囲に含まれるリソースタイプについては、継続的な記録の料金が請求されます。これは、両方のレコーダーによって記録されているリソースタイプにのみ影響します。
注記
カスタマー管理設定レコーダーまたはサービスリンク設定レコーダーによって生成された設定項目の数に関係なく、設定項目ごとに 1 回のみ料金が発生します。
例: 記録頻度の優先順位
Amazon EC2 インスタンスを日次頻度で記録するようにカスタマー管理レコーダーを設定しました。その後、記録範囲が「PAID」で、Amazon EC2 インスタンスを継続的に記録するサービスリンクレコーダーを使用する AWS サービス機能を有効にします。このシナリオでは、次のような処理が行われます。
カスタマー管理レコーダーの設定に「日次記録」と表示されます。
Amazon EC2 インスタンスは継続的に記録され、追加の CI が提供されます。これは、記録範囲が「PAID」のサービスリンクレコーダーの方が、記録頻度が高いためです。
Amazon EC2 インスタンスの継続的な記録に対する料金が発生します
カスタマー管理レコーダーによってのみ記録される他のリソースタイプは、引き続き日次の頻度で記録されます。
サポートされる サービス
サービスリンク設定レコーダーは、次のサービスでサポートされています。
| AWS のサービス | サービスプリンシパル | で使用する利点AWS Config | 詳細はこちら |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Amazon CloudWatch Observability Admin を使用して、AWS Organization またはアカウントの CloudWatch のテレメトリ設定の状態を検出し把握できます。 | 詳細については、「CloudWatch ユーザーガイド」の「CloudWatch テレメトリ設定の監査」を参照してください。 |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
AWS Security Hub CSPM を使用して、セキュリティ検出結果を一元管理し、AWS アカウント全体でセキュリティ評価を実行できます。サービスリンクレコーダーを使用することで、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチが可能になります。 | 詳細については、「 Security Hub ユーザーガイド」の「Security Hub を有効にする」を参照してください。 |
設定レコーダーのドリフト検出
AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。
例えば、この CI は、AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。
AWS::Config::ConfigurationRecorder リソースタイプは AWS Config のシステムリソースタイプで、このリソースタイプの記録は、サポートされているすべてのリージョンにおいて、デフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。
