翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
設定レコーダーの使用
設定レコーダーは、範囲内のリソースタイプの設定変更を設定項目 (CI) として保存します。
設定レコーダーには 2 つのタイプがあります。
| タイプ | 説明 |
|---|---|
| カスタマー管理設定レコーダー | ユーザーが管理する設定レコーダー。範囲に含まれるリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 AWS リージョン が実行されている でサポートされているすべてのリソースを記録します。 |
| サービスリンク設定レコーダー | 特定の にリンクされた設定レコーダー AWS のサービス。範囲に含まれるリソースタイプは、リンクされたサービスによって設定されます。 |
トピック
カスタマー管理設定レコーダーに関する考慮事項
カスタマー管理設定レコーダーは各アカウントでリージョンごとに 1 つ
カスタマーマネージド設定レコーダーは、それぞれ 1 つのみ持つことができます AWS アカウント AWS リージョン。
デフォルトでは、グローバル IAM リソースタイプを除く、サポートされているすべてのリソースタイプを記録する
カスタマー管理設定レコーダーは、デフォルトでは AWS::IAM::Group、AWS::IAM::Policy、AWS::IAM::Role、AWS::IAM::User のグローバル IAM リソースタイプを除き、サポートされているすべてのリソースタイプを記録します。記録に含めるリソースタイプと、記録から除外するリソースタイプをユーザーが指定できます。
詳細については、「を使用した AWS リソースの記録 AWS Config」を参照してください。
カスタマー管理設定レコーダーの使用にはサービスの利用料金が発生する
がカスタマーマネージド設定レコーダーで設定の記録 AWS Config を開始すると、サービス使用料が課金されます。
料金に関する情報については、[AWS Config
の料金
AWS Systems Manager を使用して組織全体でカスタマーマネージド設定レコーダーを作成する
AWS Systems Manager クイックセットアップを使用して、複数の組織単位 (OUsカスタマーマネージド設定レコーダーを作成し、 AWS ベストプラクティス AWS リージョン を使用できます。
詳細については、「Systems Manager ユーザーガイド」の「高速セットアップを使用して AWS Config 設定レコーダーを作成する」を参照してください。
重要
ポリシーとコンプライアンス結果
で管理される IAM ポリシーやその他のポリシーは、 AWS Config がリソースの設定変更を記録するアクセス許可を持っているかどうかに影響を与える可能性があります。 AWS Organizationsまた、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図する AWS Configの使用方法と合致していることを確認してください。
設定レコーダーがオフになっている場合、削除されたリソースの古い評価結果が保持されることがある
カスタマー管理設定レコーダーをオフにすると、削除を含むリソースの設定変更を追跡する AWS Config Config の機能は無効になります。つまり、カスタマーマネージド設定レコーダーがオフになっていると削除されたリソースの古い評価結果が表示されることがあります。記録がオンになっていない場合 AWS Config 、 は削除イベントをキャプチャできないためです。
サービスリンク設定レコーダーに関する考慮事項
AWS Config サービスにリンクされたロールを使用する必要があります
AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。
詳細については、「AWS Configのサービスにリンクされたロールの使用」を参照してください。
サービスリンク設定レコーダーは常時記録する
サービスリンクレコーダーの設定は固定されています。設定を直接変更することはできません。レコーダーの起動、停止、更新などのレコーダー設定を変更するには、サービスにリンクされたレコーダーを使用する関連 AWS サービスを通じてこれらの変更を行います。
詳細については、「設定レコーダーの削除」を参照してください。
記録範囲に基づいて、設定項目を受信するかどうかが決定される
記録スコープは、設定レコーダーにリンク AWS のサービス された によって設定され、配信チャネルで設定項目 (CIs) を受信するかどうかを決定します。記録範囲が INTERNAL の場合、配信チャネルで CI を受信しません。
記録範囲に基づいて、サービス料金が請求されるかどうかが決定される
記録範囲は、設定レコーダーにリンク AWS のサービス されている によって設定され、範囲内の設定項目 (CIs) が無料 (INTERNAL) で記録されるか、請求書のコスト (PAID) に影響するかを決定します。
レコーダー間の記録頻度の優先順位
カスタマー管理設定レコーダーと、記録範囲が「PAID」のサービスリンク設定レコーダーが共に同じリソースタイプを記録している場合、記録頻度が高いレコーダーが優先されます。例えば、カスタマーマネージドレコーダーが日次記録に設定されている場合、記録範囲が「PAID」で継続的な記録があるサービスにリンクされたレコーダーを使用する AWS サービスを有効にすると、影響を受けるリソースタイプは継続的に記録されます。
つまり、カスタマー管理レコーダーの設定に「日次記録」と表示されていても、両方のレコーダーの範囲に含まれるリソースタイプについては、継続的な記録の料金が請求されます。これは、両方のレコーダーによって記録されているリソースタイプにのみ影響します。
注記
カスタマー管理設定レコーダーまたはサービスリンク設定レコーダーによって生成された設定項目の数に関係なく、設定項目ごとに 1 回のみ料金が発生します。
例例: 記録頻度の優先順位
Amazon EC2 インスタンスを日次頻度で記録するようにカスタマー管理レコーダーを設定しました。後で、記録範囲が「PAID」のサービスにリンクされたレコーダーと、Amazon EC2 インスタンスも記録する継続的な記録を使用するサービス AWS 機能を有効にします。このシナリオでは、次のような処理が行われます。
カスタマー管理レコーダーの設定に「日次記録」と表示されます。
Amazon EC2 インスタンスは継続的に記録され、追加の CI が提供されます。これは、記録範囲が「PAID」のサービスリンクレコーダーの方が、記録頻度が高いためです。
Amazon EC2 インスタンスの継続的な記録に対する料金が発生します
カスタマー管理レコーダーによってのみ記録される他のリソースタイプは、引き続き日次の頻度で記録されます。
サポートされる サービス
サービスリンク設定レコーダーは、次のサービスでサポートされています。
| AWS service | サービスプリンシパル | で を使用する利点 AWS Config | 詳細はこちら |
|---|---|---|---|
| Amazon CloudWatch | observabilityadmin.amazonaws.com,
telemetry-enablement.observabilityadmin.amazonaws.com |
Amazon CloudWatch Observability Admin を使用して、 AWS 組織またはアカウントの CloudWatch のテレメトリ設定の状態を検出して理解できます。 | 詳細については、「CloudWatch ユーザーガイド」の「CloudWatch テレメトリ設定の監査」を参照してください。 |
| AWS Security Hub CSPM | securityhub.amazonaws.com |
を使用して AWS Security Hub CSPM 、セキュリティ検出結果を一元管理し、 AWS アカウント全体でセキュリティ評価を実行できます。サービスリンクレコーダーを使用することで、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチが可能になります。 | 詳細については、「Security Hub CSPM ユーザーガイド」の「Security Hub の有効化」を参照してください。 |
設定レコーダーのドリフト検出
AWS::Config::ConfigurationRecorder リソースタイプは、設定レコーダーの状態に対するすべての変更を追跡する設定レコーダーの設定項目 (CI) です。この CI を使用して、設定レコーダーの状態が以前の状態と異なるか、ドリフトしたかを確認できます。
例えば、この CI は、 AWS Config で追跡を有効にしたリソースタイプに更新があるかどうか、設定レコーダーを停止または起動したか、設定レコーダーを削除またはアンインストールしたかを追跡します。ドリフトした設定レコーダーは、目的のリソースタイプへの変更を正確に検出していないことを示します。設定レコーダーがドリフトしていると、コンプライアンス結果が偽陰性または偽陽性になる可能性があります。
AWS::Config::ConfigurationRecorder リソースタイプは のシステムリソースタイプ AWS Config であり、このリソースタイプの記録はサポートされているすべてのリージョンでデフォルトで有効になっています。AWS::Config::ConfigurationRecorder リソースタイプの記録は、追加料金なしでご利用いただけます。
