リソーストラッキングの有効化 - AWS Backup
コンソールを使用したリソーストラッキングを有効にするAWS Command Line Interface (AWS CLI)を使用して、リソーストラッキングを有効にします。AWS CloudFormation テンプレートを使用して、リソーストラッキングを有効にします。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソーストラッキングの有効化

最初のコンプライアンス関連フレームワークを作成する前に、リソーストラッキングを有効にする必要があります。これにより AWS Config 、 は AWS Backup リソースを追跡できます。リソース追跡の管理方法に関する技術ドキュメントについては、AWS Config 「 デベロッパーガイド」の「 コンソール AWS Config でのセットアップ」を参照してください。

リソーストラッキングを有効にすると、料金が適用されます。 AWS Backup Audit Manager のリソース追跡の料金と請求については、「計測、コスト、請求」を参照してください。

コンソールを使用したリソーストラッキングを有効にする

コンソールを使用してリソーストラッキングを有効にするには:

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. Audit Managerの下にある左のナビゲーションペインでAフレームワークを選択します。

  3. リソーストラッキングの管理を選択して、リソーストラッキングを有効にします。

  4. AWS Config 設定に移動 を選択します。

  5. 選択録画を有効または無効にする

  6. 選択有効化次のすべてのリソースタイプについて記録するか、一部のリソースタイプで記録を有効にすることを選択します。コントロールに必要なリソースタイプを指定するには、AWS Backup Audit Manager の制御と修正を参照にしてください。

    • AWS Backup: backup plans

    • AWS Backup: backup vaults

    • AWS Backup: recovery points

    • AWS Backup: backup selection

    注記

    AWS Backup Audit Manager では、すべてのコントロールAWS Config: resource complianceに が必要です。

  7. [閉じる] を選択します。

  8. テキスト付きの青いバナーを待ってください。テキストで緑のバナーに移行するにはリソーストラッキングの有効化にしてください。リソーストラッキングはオンです

リソース追跡を有効にしたかどうか、有効にした場合は記録しているリソースタイプを AWS Backup コンソールの 2 つの場所で確認できます。左のナビゲーションペインで、次のいずれかの操作を行います。

  • フレームワークを選択し、AWS Config レコーダーのステータス下に次の出来ストを選択します。

  • 設定を選択し、AWS Config レコーダーのステータス下に次のテキストを選択します。

AWS Command Line Interface (AWS CLI)を使用して、リソーストラッキングを有効にします。

まだ にオンボーディングしていない場合は AWS Config、 を使用してオンボーディングする方が早い場合があります AWS CLI。

AWS CLIを使用してリソーストラッキングを有効にするには:

  1. 次のコマンドを入力して、 AWS Config レコーダーがすでに有効かどうかを確認します。

    $ aws configservice describe-configuration-recorders

    1. ConfigurationRecordersリストは次のように空の場合。

      {
  "ConfigurationRecorders": []
}

      レコーダーが有効になっていません。ステップ 2 に進み、レコーダーを作成します。

    2. すべてのリソースで録音をすでに有効にした場合は、ConfigurationRecorders出力は次のようになります。

      {
  "ConfigurationRecorders":[
    {
      "recordingGroup":{
        "allSupported":true,
        "resourceTypes":[
          
        ],
        "includeGlobalResourceTypes":true
      },
      "roleARN":"arn:aws:iam::[account]:role/[roleName]",
      "name":"default"
    }
  ]
}

      すべてのリソースを有効にしたので、リソーストラッキングはすでに有効になっています。 AWS Backup Audit Manager を使用するには、この手順の残りの部分を完了する必要はありません。

    3. ConfigurationRecordersは空ではなかったら、すべてのリソースで録音を有効にしていません。次のコマンドを使用して、既存のレコーダーにバックアップリソースを追加します。ステップ 3 に進みます。

      $ aws configservice describe-configuration-recorders
{
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  2. AWS Backup Audit Manager リソースタイプを使用して AWS Config レコーダーを作成する

    $ aws configservice put-configuration-recorder --configuration-recorder name=default, \
roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ 
--recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \
'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']"

  3. AWS Config レコーダーを記述します。

    $ aws configservice describe-configuration-recorders

    出力を次の予想される出力と比較することで、 AWS Backup Audit Manager リソースタイプがあることを確認します。

    {
  "ConfigurationRecorders":[
    {
      "name":"default",
      "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig",
      "recordingGroup":{
        "allSupported":false,
        "includeGlobalResourceTypes":false,
        "resourceTypes":[
          "AWS::Backup::BackupPlan",
          "AWS::Backup::BackupSelection",
          "AWS::Backup::BackupVault",
          "AWS::Backup::RecoveryPoint",
          "AWS::Config::ResourceCompliance"
        ]
      }
    }
  ]
}

  4. AWS Config 設定ファイルを保存する送信先として Amazon S3 バケットを作成します。

    $ aws s3api create-bucket --bucket amzn-s3-demo-bucket —region us-east-1

  5. 使用アイテム policy.json バケットへのアクセス AWS Config 許可を付与します。次のサンプルを参照してください。policy.json.

    $ aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AWSConfigBucketPermissionsCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:GetBucketAcl",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    },
    {
      "Sid":"AWSConfigBucketExistenceCheck",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:ListBucket",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    },
    {
      "Sid":"AWSConfigBucketDelivery",
      "Effect":"Allow",
      "Principal":{
        "Service":"config.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*"
    }
  ]
}

  6. バケットを AWS Config 配信チャネルとして設定する

    $ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket

  7. AWS Config 録画を有効にする

    $ aws configservice start-configuration-recorder --configuration-recorder-name default

  8. DescribeFramework次のように出力が"FrameworkStatus":"ACTIVE"あなたの最後の行になっていることを確認します。

    $ aws backup describe-framework --framework-name test --region us-east-1
    {
  "FrameworkName":"test",
 "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666",
  "FrameworkDescription":"",
  "FrameworkControls":[
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK",
      "ControlInputParameters":[
        {
          "ParameterName":"requiredFrequencyUnit",
          "ParameterValue":"hours"
        },
        {
          "ParameterName":"requiredRetentionDays",
          "ParameterValue":"35"
        },
        {
          "ParameterName":"requiredFrequencyValue",
          "ParameterValue":"1"
        }
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    },
    {
      "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED",
      "ControlInputParameters":[
        
      ],
      "ControlScope":{
        
      }
    }
  ],
  "CreationTime":1633463605.233,
  "DeploymentStatus":"COMPLETED",
  "FrameworkStatus":"ACTIVE"
}

AWS CloudFormation テンプレートを使用して、リソーストラッキングを有効にします。

リソース追跡を有効にする AWS CloudFormation テンプレートについては、「 での AWS Backup Audit Manager の使用 AWS CloudFormation」を参照してください。