# AWS Config で設定変更を追跡する
<a name="TrackingChanges"></a>

AWS リソースの設定を記録および評価するには、AWS Config を使用できます。これにより、ディストリビューションの設定の詳細ビューが表示されます。これには、リソースの相互関係や、過去にどのように構成されていたかが含まれるため、変更を経時的に確認できます。

さらに、AWS Config を使用して、CloudFront ディストリビューションの設定変更を記録できます。ディストリビューションの状態、料金クラス、オリジン、地域制限の設定、および Lambda@Edge 設定の変更をキャプチャできます。

**注記**  
AWS Config では、CloudFront ストリーミングディストリビューションのキーと値のタグは記録されません。

**Contents**
+ [CloudFront で AWS Config をセットアップする](#TrackingChangesSettings)
+ [CloudFront 設定履歴の表示](#TrackingChangesGetHistory)
+ [AWS Config ルールを使用して CloudFront 設定を評価する](#cloudfront-config-rules)

## CloudFront で AWS Config をセットアップする
<a name="TrackingChangesSettings"></a>

AWS Config を設定するとき、サポートされるすべての AWS リソースを記録するか、または特定のリソースのみを指定して設定の変更を記録するか (CloudFront の変更のみを記録する、など) を選択できます。サポートされる CloudFront リソースのリストについては、「*AWS Config デベロッパーガイド*」の「サポートされるリソースタイプ」トピックの「[Amazon CloudFront](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#amazoncloudfront)」セクションを参照してください。

**注意事項**  
CloudFront ディストリビューションの設定変更を追跡するには、米国東部 (バージニア北部) AWS リージョン で CloudFront コンソールにサインする必要があります。
AWS Config でのリソースの記録には遅延が生じる可能性があります。AWS Config は、リソースを検出した後でしかリソースを記録しません。

------
#### [ Console ]<a name="HowToSetUpAWSConfigProcedure"></a>

**CloudFront で AWS Config をセットアップするには**

1. AWS マネジメントコンソール にサインインして、[AWS Config コンソール](https://console.aws.amazon.com/config/home) を開きます。

1. [**Get Started Now**] を選択します。

1. [**設定**] ページの [**記録するリソースタイプ**] で、AWS で記録する AWS Config リソースタイプを指定します。CloudFront の変化のみを記録する場合には、[**特定の型**] を選択し、[**CloudFront**] で、変更を追跡するディストリビューションまたはストリーミング配信を選択します。

   追跡するディストリビューションを追加あるいは変更するには、最初のステップを完了した後に左側で [**設定**] を選択します。

1. AWS Config で追加の必須オプションを指定する: 通知の設定、設定情報の場所の指定、リソースタイプ評価のルールの追加。

詳細については、*AWS Config デベロッパーガイド*の「[コンソールによる AWS Config の設定](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)」を参照してください。

------
#### [ AWS CLI ]

AWS CLI を使用して CloudFront で AWS Config をセットアップするには、「*AWS Config デベロッパーガイド*」の「[AWS CLI を使用した AWS Config のセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)」を参照してください。

------
#### [ AWS Config API ]

AWS Config API を使用して CloudFront で AWS Config をセットアップするには、「AWS Config API リファレンス」の [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html) API オペレーションを参照してください。**

------

## CloudFront 設定履歴の表示
<a name="TrackingChangesGetHistory"></a>

AWS Config がディストリビューションへの設定変更の記録を開始したら、CloudFront 用に設定した任意のディストリビューションの設定履歴を取得できます。

設定履歴は以下のいずれかの方法で表示できます。

------
#### [ Console ]

記録されたリソースごとに、設定の詳細の履歴を示すタイムラインページを表示できます。このページを表示するには、[**Dedicated Hosts**] ページの [**設定タイムライン**] 列にあるグレーのアイコンを選択してください。

詳細については、『*AWS Config デベロッパーガイド*』の[AWS Config コンソールでの設定詳細の表示](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)を参照してください。

------
#### [ AWS CLI ]

すべてのディストリビューションのリストを取得するには、次の例に示されているように、[list-discovered-resources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/list-discovered-resources.html) コマンドを使用します。

```
aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution
```

特定の期間のディストリビューションの設定詳細を取得するには、[get-resource-config-history](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-resource-config-history.html) コマンドを使用します。

詳細については、『*AWS Config デベロッパーガイド*』の[CLI による設定詳細の表示](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)を参照してください。

------
#### [ AWS Config API ]

すべてのディストリビューションのリストを取得するには、[ListDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListDiscoveredResources.html) API オペレーションを使用します。

特定の期間におけるディストリビューションの設定詳細を取得するには、[GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html) API オペレーションを使用します。詳細については、「[AWS Config API リファレンス](https://docs.aws.amazon.com/config/latest/APIReference/)」を参照してください。

------

## AWS Config ルールを使用して CloudFront 設定を評価する
<a name="cloudfront-config-rules"></a>

AWS Config ルールを使用して、設定を目的の設定と照らし合わせて評価できます。例えば、AWS Config ルールは、CloudFront リソースが一般的なセキュリティのベストプラクティスに準拠しているかどうかを評価するのに役立ちます。ビューワーポリシー HTTPS、SNI 有効、OAC 有効、オリジンフェイルオーバー有効、AWS WAF WebACL 、または設定変更時にトリガーされる AWS Shield Advanced リソースポリシーなどの管理ルールを選択できます。

マネージドルールは、選択した頻度で定期的に評価を実行できます。AWS Firewall Manager は自動アラートと修復を AWS Config に依存します。詳細については、「AWS Config デベロッパーガイド」の「[Evaluating Resources with AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」および「[List of AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)」を参照してください。**