翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でリソースの変更をモニタリングする AWS Config
<a name="monitoring-with-config"></a>

AWS Control Tower は、すべての登録済みアカウント AWS Config で を有効にします。これにより、検出コントロールによるコンプライアンスのモニタリング、リソースの変更の記録、ログアーカイブアカウントへのリソース変更ログの配信が可能になります。

**ランディングゾーンのバージョンが 3.0 より前の**場合: 登録済みアカウントの場合、 は、アカウントが動作するすべてのリージョンのリソースに対するすべての変更を AWS Config ログに記録します。各変更は、リソース識別子、リージョン、各変更が記録された日付、および変更が既知のリソースまたは新しく検出されたリソースに関連するかどうかなどの情報を含む構成項目 (CI) としてモデル化されます。

**ランディングゾーンバージョンが 3.0 以降の場合**: AWS Control Tower は、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルリソースの記録をホームリージョンのみに制限します。グローバルリソースの変更のコピーは、すべてのリージョンに保存されるわけではありません。このリソース記録の制限は AWS Config [、ベストプラクティス](https://aws.amazon.com//blogs/mt/aws-config-best-practices/)に準拠しています。[グローバルリソースの完全なリスト](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)は、 AWS Config ドキュメントで入手できます。
+ 詳細については AWS Config、[「 AWS Config の仕組み](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html)」を参照してください。
+ がサポート AWS Config できるリソースのリストについては、[「サポートされているリソースタイプ](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html)」を参照してください。
+ AWS Control Tower 環境でリソース追跡をカスタマイズする方法については、ブログ記事[「AWS Control Tower で AWS Config リソース追跡をカスタマイズ](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment)する」を参照してください。

AWS Control Tower は、すべての登録済みアカウントに AWS Config 配信チャネルを設定します。この配信チャネルを通じて、 AWS Config によってログアーカイブアカウントに記録されたすべての変更がログに記録され、Amazon Simple Storage Service バケットのフォルダに保存されます。

# AWS Control Tower で AWS Config コストを管理する
<a name="config-costs"></a>

このセクションでは、AWS Control Tower アカウントのリソースの変更 AWS Config を記録して請求する方法について説明します。この情報は、AWS Control Tower AWS Configを使用する際に関連するコストの管理方法を理解するのに役立ちます。AWS Control Tower では追加費用が不要です。

**注記**  
 **ランディングゾーンのバージョンが 3.0 以降**の場合: AWS Control Tower は、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルリソース AWS Config の記録をホームリージョンのみに制限します。したがって、このセクションの情報の一部がランディングゾーンに適用されない場合があります。

AWS Config は、アカウントが動作する各リージョンの各リソースに対する各変更を、設定項目 (CI) として記録するように設計されています。 は、生成する設定項目ごとに AWS Config 請求します。

** AWS Config の仕組み**

AWS Config は、各リージョンのリソースを個別に記録します。IAM ロールなどの一部のグローバルリソースは、リージョンごとに 1 回記録されます。たとえば、5 つのリージョンで運用されている登録済みアカウントに新しい IAM ロールを作成すると、 はリージョンごとに 1 つずつ、5 CIs AWS Config を生成します。Route 53 ホストゾーンなどの他のグローバルリソースは、すべてのリージョンで 1 回だけ記録されます。たとえば、登録済みアカウントで新しい Route 53 ホストゾーンを作成すると、そのアカウントに選択されているリージョンの数に関係なく、 AWS Config が CI を 1 回生成します。これらのタイプのリソースを区別するのに役立つリストについては、「[同じリソースが複数回記録されている](monitoring-with-config.md#duplicate-configuration-items)」を参照してください。

**注記**  
AWS Control Tower が と連携する場合 AWS Config、リージョンは AWS Control Tower によって管理されるか、管理解除され、アカウントがそのリージョンで動作している場合は変更が記録され AWS Config ます。

**AWS Config がリソース内の 2 種類の関係を検出する**

AWS Config は、リソース間の*直接*関係と*間接*関係を区別します。リソースが他のリソースの**Describe** API 呼び出しで返された場合、それらのリソースは直接的な関係として記録されます。別のリソースと直接関係にあるリソースを変更しても、 AWS Config は両方のリソースの CI を作成しません。

たとえば、Amazon EC2 インスタンスを作成し、API でネットワークインターフェイスを作成する必要がある場合、 AWS Config では、Amazon EC2 インスタンスはネットワークインターフェイスと直接的な関係があると見なされます。その結果、 は 1 つの CI のみ AWS Config を生成します。

AWS Config は、*間接的*な関係であるリソース関係の個別の変更を記録します。たとえば、セキュリティグループを作成し、セキュリティグループの一部である関連付けられた Amazon EC2 インスタンスを追加すると、 は 2 つの CIs AWS Config を生成します。

直接的な関係と間接的な関係の詳細については、[「リソースに関する直接的な関係と間接的な関係とは何ですか?」](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)を参照してください。

[リソース関係のリストは、](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) AWS Config ドキュメントで確認できます。

## 登録済みアカウントの AWS Config レコーダーデータを表示する
<a name="querying-config"></a>

AWS Config は CloudWatch と統合されているため、ダッシュボードで AWS Config CIsを表示できます。詳細については、「[AWS Config が Amazon CloudWatch のメトリクスをサポート](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics)」というタイトルのブログ投稿を参照してください。

プログラムで AWS Config データを表示するには、 CLI AWS を使用するか、他の AWS ツールを使用できます。

### 特定のリソースの AWS Config レコーダーデータをクエリする
<a name="querying-resources-using-the-cli"></a>

 AWS CLI を使用して、リソースの最新の変更のリストを取得できます。

**リソース履歴コマンド:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`

詳細については、[`get-config-history` の API ドキュメント](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html)を参照してください。

### Quick で AWS Config データを視覚化する
<a name="visualize-config-data-with-quicksight"></a>

組織全体 AWS Config で によって記録されたリソースを視覚化およびクエリできます。詳細については、[「Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard)」と「[Visualizing AWS Config data using Amazon Athena and Quick](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)」を参照してください。

## AWS Control Tower AWS Config でのトラブルシューティング
<a name="troubleshooting-config"></a>

このセクションでは、AWS Control Tower AWS Config で を使用する際に発生する可能性のあるいくつかの問題について説明します。

### 高 AWS Config コスト
<a name="high-config-costs"></a>

ワークフローにリソースを頻繁に作成、更新、または削除するプロセスが含まれている場合、またはリソースを大量に処理する場合、そのワークフローによって多数の CI が生成されることが考えられます。非本番アカウントでこれらのプロセスを実行する場合、アカウントの登録解除を検討してください。そのアカウントの AWS Config レコーダーを手動で非アクティブ化する必要がある場合があります。

**注記**  
アカウントを登録解除すると、AWS Control Tower は、そのアカウントのリソースに対して検出コントロールを適用したり、 AWS Config アクティビティなどのアカウントイベントを記録したりすることはできません。

アカウントの管理解除について詳細は、[登録済みアカウントの管理を解除する](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html)を参照してください。 AWS Config レコーダーを非アクティブ化する方法については、[「設定レコーダーの管理](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html)」を参照してください。

### 同じリソースが複数回記録されている
<a name="duplicate-configuration-items"></a>

そのリソースが[グローバルリソース](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)かどうかをチェックします。バージョン 3.0 より前の AWS Control Tower ランディングゾーンでは、 AWS Config が動作しているリージョンごとに特定のグローバルリソースを 1 回記録 AWS Config できます。たとえば、 AWS Config が 8 つのリージョンで有効になっている場合、各ロールは 8 回記録されます。

**以下のリソースは、 AWS Config が動作しているリージョンごとに 1 回記録されます。**
+ `AWS::IAM::Group` 
+ `AWS::IAM::Policy` 
+ `AWS::IAM::Role` 
+  `AWS::IAM::User`

**他のグローバルリソースは 1 回のみ記録されます。1 回記録されたリソースの例を次に示します。**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`

### AWS Config はリソースを記録しませんでした
<a name="resource-not-recorded"></a>

特定のリソースは、他のリソースと依存関係があります。これらの関係は、**直接的または間接的**です。非推奨の間接的な関係のリストについては、 [FAQ AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)を参照してください。