AWS Config で設定変更を追跡する - Amazon CloudFront
CloudFront で AWS Config をセットアップするCloudFront 設定履歴の表示AWS Config ルールを使用して CloudFront 設定を評価する

AWS Config で設定変更を追跡する

AWS リソースの設定を記録および評価するには、AWS Config を使用できます。これにより、ディストリビューションの設定の詳細ビューが表示されます。これには、リソースの相互関係や、過去にどのように構成されていたかが含まれるため、変更を経時的に確認できます。

さらに、AWS Config を使用して、CloudFront ディストリビューションの設定変更を記録できます。ディストリビューションの状態、料金クラス、オリジン、地域制限の設定、および Lambda@Edge 設定の変更をキャプチャできます。

注記

AWS Config では、CloudFront ストリーミングディストリビューションのキーと値のタグは記録されません。

CloudFront で AWS Config をセットアップする

AWS Config を設定するとき、サポートされるすべての AWS リソースを記録するか、または特定のリソースのみを指定して設定の変更を記録するか (CloudFront の変更のみを記録する、など) を選択できます。サポートされる CloudFront リソースのリストについては、「AWS Config デベロッパーガイド」の「サポートされるリソースタイプ」トピックの「Amazon CloudFront」セクションを参照してください。

メモ

  • CloudFront ディストリビューションの設定変更を追跡するには、米国東部 (バージニア北部) AWS リージョン で CloudFront コンソールにサインする必要があります。

  • AWS Config でのリソースの記録には遅延が生じる可能性があります。AWS Config は、リソースを検出した後でしかリソースを記録しません。

Console
CloudFront で AWS Config をセットアップするには

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. [Get Started Now] を選択します。

  3. [設定] ページの [記録するリソースタイプ] で、AWS で記録する AWS Config リソースタイプを指定します。CloudFront の変化のみを記録する場合には、[特定の型] を選択し、[CloudFront] で、変更を追跡するディストリビューションまたはストリーミング配信を選択します。

    追跡するディストリビューションを追加あるいは変更するには、最初のステップを完了した後に左側で [設定] を選択します。

  4. AWS Config で追加の必須オプションを指定する: 通知の設定、設定情報の場所の指定、リソースタイプ評価のルールの追加。

詳細については、AWS Config デベロッパーガイドの「コンソールによる AWS Config の設定」を参照してください。

AWS CLI

AWS CLI を使用して CloudFront で AWS Config をセットアップするには、「AWS Config デベロッパーガイド」の「AWS CLI を使用した AWS Config のセットアップ」を参照してください。

AWS Config API

AWS Config API を使用して CloudFront で AWS Config をセットアップするには、「AWS Config API リファレンス」の StartConfigurationRecorder API オペレーションを参照してください。

CloudFront 設定履歴の表示

AWS Config がディストリビューションへの設定変更の記録を開始したら、CloudFront 用に設定した任意のディストリビューションの設定履歴を取得できます。

設定履歴は以下のいずれかの方法で表示できます。

Console

記録されたリソースごとに、設定の詳細の履歴を示すタイムラインページを表示できます。このページを表示するには、[Dedicated Hosts] ページの [設定タイムライン] 列にあるグレーのアイコンを選択してください。

詳細については、『AWS Config デベロッパーガイド』のAWS Config コンソールでの設定詳細の表示を参照してください。

AWS CLI

すべてのディストリビューションのリストを取得するには、次の例に示されているように、list-discovered-resources コマンドを使用します。

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

特定の期間のディストリビューションの設定詳細を取得するには、get-resource-config-history コマンドを使用します。

詳細については、『AWS Config デベロッパーガイド』のCLI による設定詳細の表示を参照してください。

AWS Config API

すべてのディストリビューションのリストを取得するには、ListDiscoveredResources API オペレーションを使用します。

特定の期間におけるディストリビューションの設定詳細を取得するには、GetResourceConfigHistory API オペレーションを使用します。詳細については、「 APIリファレンスAWS Config」を参照してください。

AWS Config ルールを使用して CloudFront 設定を評価する

AWS Config ルールを使用して、設定を目的の設定と照らし合わせて評価できます。例えば、AWS Config ルールは、CloudFront リソースが一般的なセキュリティのベストプラクティスに準拠しているかどうかを評価するのに役立ちます。ビューワーポリシー HTTPS、SNI 有効、OAC 有効、オリジンフェイルオーバー有効、AWS WAF WebACL 、または設定変更時にトリガーされる AWS Shield Advanced リソースポリシーなどの管理ルールを選択できます。

マネージドルールは、選択した頻度で定期的に評価を実行できます。AWS Firewall Manager は自動アラートと修復を AWS Config に依存します。詳細については、「AWS Config デベロッパーガイド」の「Evaluating Resources with AWS Config Rules」および「List of AWS Config Managed Rules」を参照してください。