AWS Config でリソースタイプを記録する
AWS Config がプライベートリソースタイプを自動的に追跡し、それらのリソースに対する変更を構成項目として記録するように指定できます。これにより、構成のベストプラクティスを検証するための AWS Config ルール ルールを作成するだけでなく、これらのプライベートリソースタイプの構成履歴を表示することができます。AWS Config はフック拡張に必要です。
AWS Config でプライベートリソースタイプを自動的に追跡するには:
-
CloudFormation を使用してリソースを管理します。これには、CloudFormation によるすべてのリソースの作成、更新、削除オペレーションの実行が含まれます。
注記
IAM ロールを使用してスタックオペレーションを実行する場合、その IAM ロールには次の AWS Config アクションを呼び出すためのアクセス権限が必要です。
-
すべてのリソースタイプを記録するように AWS Config を設定します。詳細については、「AWS Config デベロッパーガイド」の「AWS CLI を使用したサードパーティーのリソースの記録構成」を参照してください。
注記
AWS Config は、必須と書き込み専用の両方として定義されたプロパティを含むプライベートリソースの記録をサポートしていません。
設計上、書き込み専用として定義されたリソースプロパティは、AWS Config 構成項目の作成に使用されるスキーマでは返されません。このため、書き込み専用と必須の両方として定義されたプロパティを含めると、必須プロパティが存在しないため、構成項目の作成が失敗します。構成項目の作成に使用されるスキーマを表示するには、DescribeType アクションの
schemaプロパティを確認します。
構成項目の詳細については、「AWS Config デベロッパーガイド」の「Configuration items」(構成項目) を参照してください。
構成項目に機密のプロパティが記録されないようにする
リソースタイプには、パスワード、シークレット、その他の機密データなど、構成項目の一部として記録したくない、機密情報とみなされるプロパティが含まれている場合があります。プロパティが構成項目に記録されないようにするには、そのプロパティをリソースタイプスキーマの writeOnlyproperties 一覧に含めます。ユーザーは writeOnlyproperties としてリストされているリソースプロパティを指定できますが、read または list リクエストでは返されなくなります。
詳細については、「CloudFormation CLI ユーザーガイド」の「writeOnlyProperties」を参照してください。
