翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Config とは?
AWS Config は、AWS アカウントにある AWS リソースに関する設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
AWS *リソース*は、ユーザーが AWS で操作できるエンティティで、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) などがあります。AWS でサポートされている AWS Config リソースの詳細なリストについては、「[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)」を参照してください。
## 考慮事項
+ **AWS アカウント**: アクティブな AWS アカウント が必要です。詳細については、「[AWS へのサインアップ](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html#getting-started-signing-up)」を参照してください。
+ **Amazon S3 バケット**: 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、[Amazon S3 バケットのアクセス許可](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)を参照してください。
+ **Amazon SNS トピック**: 設定スナップショットと履歴に変更があった場合に通知を受け取るには、Amazon SNS が必要です。詳細については、「[Permissions for the Amazon SNS Topic](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-policy.html)」を参照してください。
+ **IAM ロール**: AWS Config にアクセスするのに必要なアクセス許可を持つ IAM ロールが必要です。詳細については、「[Permissions for the IAM Role](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html)」を参照してください。
+ **リソースタイプ**: AWS Config で記録するリソースタイプを決定できます。詳細については、「[AWS リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
## AWS Config を使用する方法
通常、AWS でアプリケーションの実行時に使用する AWS リソースは一括して作成し管理する必要があります。アプリケーションの需要が増えるに従って、AWS リソースを追跡する作業も増大します。AWS Config は、以下の目的でアプリケーションのリソースを監視します。
### リソースの管理
リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。AWS Config では、各リソースに対する呼び出しをポーリングして、リソースが作成、変更、削除されるたびに通知が送信されるため、これらの変更をモニタリングする必要がありません。
AWS Config のルールを使用して、AWS リソースの設定を評価できます。AWS Config でルールの条件に違反しているリソースが検出されると、AWS Config によってそのリソースに非準拠のフラグが付けられ、通知が送信されます。また、AWS Config はリソースの作成、変更、または削除を継続的に評価します。
### 監査とコンプライアンス
使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は AWS Config から提供されます。
### 設定変更の管理とトラブルシューティング
複数の相互に依存する AWS リソースを使用している場合、1 つのリソースの設定変更が他の関連リソースに予期しない影響を及ぼすことがあります。AWS Config では、リソースを変更する前に他のリソースとの関連性を確認し、変更の影響を判断できます。
また、AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。
### セキュリティ分析
セキュリティの潜在的な脆弱性を分析するには、ユーザーに付与されている AWS Identity and Access Management (IAM) アクセス許可や、リソースへのアクセスを制御する Amazon EC2 セキュリティグループのルールなど、AWS リソースの設定に関する詳細な履歴情報が必要です。
AWS Config が記録していた期間内であれば、AWS Config を使用して、ユーザー、グループ、またはロールに割り当てられた IAM ポリシーを確認できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。例えば、ユーザー `John Doe` が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを表示できます。
AWS Config では、特定の時間に開いていたポートのルールなど、EC2 セキュリティグループの設定を確認することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。
### パートナーソリューション
ロギングと分析に関するサードパーティースペシャリストのいる AWS パートナーからは、AWS Config の出力を使用するソリューションが提供されています。詳細については、[AWS Config](https://aws.amazon.com/config) の AWS Config の詳細ページにアクセスしてください。
## 機能
AWS Config を設定すると、以下の操作を実施できます。
**リソース管理**
+ AWS Config で記録するリソースタイプを指定する。
+ 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。
+ 設定のストリーミング通知を送信するように Amazon SNS を設定する。
+ Amazon S3 バケットと Amazon SNS トピックへのアクセス許可を AWS Config に付与する。
詳細については、「[AWS リソースの設定および履歴の表示](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)」および「[AWS リソースの設定および履歴の管理](https://docs.aws.amazon.com/config/latest/developerguide/aws-config-landing-page.html)」を参照してください。
**ルールおよびコンフォーマンスパック**
+ 記録済みのリソースタイプのコンプライアンス情報を評価するために AWS Config で使用するルールを指定する。
+ 適合パック、AWS アカウント で単一のエンティティとしてデプロイおよびモニタリングできるルールの集合。
詳細については、「[AWS Config ルールを使用したリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」および「[コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」参照してください。
**修正**:
+ AWS Config ルール によって評価される非準拠のリソースを修正します。
詳細については、「[Remediation](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)」を参照してください。
**アグリゲーター**
+ アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の AWS アカウント アカウントと AWS リージョンから AWS Config 設定データとコンプライアンスデータを収集します。
詳細については、[[マルチアカウントマルチリージョンのデータ集約](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)] を参照してください。
**高度なクエリ**
+ サンプルクエリのいずれかを使用するか、AWS リソースの構成スキーマを参照して独自のクエリを作成します。
詳細については、[[AWS リソースの現在の設定状態のクエリ](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html)] を参照してください。
# AWS Config の仕組み
AWS Config は、アカウント AWS 内の AWS リソースの設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
An AWS *resource* は、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、 で操作できるエンティティです。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。
![\[この画像は、 AWS Config の仕組みの概要を示しています。さまざまな AWS リソースから への情報の流れを示し AWS Config、設定データを Amazon S3 バケットに保存します。このプロセスには、設定レコーダー、 AWS Config ルール、および配信チャネルが含まれます。目標は、 AWS 環境内のリソース設定を追跡および管理することです。\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/images/how-AWSconfig-works-2.png)
## リソース検出
有効にすると AWS Config、まずアカウントに存在するサポートされている AWS リソースを検出し、リソースごとに[設定項目](config-concepts.md#config-items)を生成します。
AWS Config は、リソースの設定が変更されると設定項目も生成し、設定レコーダーを起動したときのリソースの設定項目の履歴レコードを保持します。デフォルトでは、 はリージョンでサポートされているすべてのリソースの設定項目 AWS Config を作成します。サポートされているすべてのリソースの設定項目 AWS Config を作成しない場合は、追跡するリソースタイプを指定できます。
が追跡 AWS Config するリソースタイプを指定する前に、[Resource Coverage by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) をチェックして、設定した AWS リージョンでリソースタイプがサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしているリージョンをサポートしていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
## リソーストラッキング
AWS Config は、アカウント内の各リソースの Describe API コールまたは List API コールを呼び出すことで、リソースに対するすべての変更を追跡します。このサービスでは、その同じ API コールを使用して、すべての関連リソースの設定詳細をキャプチャします。
たとえば、VPC セキュリティグループから Egress ルールを削除する AWS Config と、 はセキュリティグループで Describe API コールを呼び出します。 AWS Config その後、 はセキュリティグループに関連付けられたすべてのインスタンスで Describe API コールを呼び出します。セキュリティグループ (リソース) と各インスタンス (関連リソース) の更新された設定が設定項目として記録され、設定のストリーミングで Amazon Simple Storage Service (Amazon S3) バケットに配信されます。
AWS Config は、API によって開始されなかった設定変更も追跡します。 AWS Config は、リソース設定を定期的に調べ、変更された設定の設定項目を生成します。
AWS Config ルールを使用している場合、 は必要な設定について AWS リソース設定 AWS Config を継続的に評価します。ルールに応じて、 AWS Config は設定の変更に応じて、または定期的にリソースを評価します。各ルールは、ルールの評価ロジックが含まれている AWS Lambda 関数に関連付けられます。がリソース AWS Config を評価すると、ルールの AWS Lambda 関数が呼び出されます。この関数は、評価されたリソースのコンプライアンスステータスを返します。リソースがルールの条件に違反した場合、 はリソースとルールを非準拠として AWS Config フラグ付けします。リソースのコンプライアンスステータスが変更されると、 は Amazon SNS トピックに通知 AWS Config を送信します。
## 設定項目の配信
AWS Config は、次のいずれかのチャネルを介して設定項目を配信できます。
### Amazon S3 バケット
AWS Config は AWS リソースの設定の変更を追跡し、指定した Amazon S3 バケットに更新された設定の詳細を定期的に送信します。が AWS Config 記録するリソースタイプごとに、6 時間ごとに*設定履歴ファイル*を送信します。各設定履歴ファイルには、その 6 時間の間に変更があったリソースの詳細が含まれています。各ファイルに含まれるリソースタイプは 1 つです (Amazon EC2 インスタンスや Amazon EBS ボリュームなど)。設定変更が行われない場合、 AWS Config はファイルを送信しません。
AWS Config は、CLI で [deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) コマンドを使用する場合、または AWS Config API AWS で [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) アクションを使用する場合、*設定スナップショット*を Amazon S3 バケットに送信します。設定スナップショットには、 AWS アカウントで AWS Config が記録したすべてのリソースの設定詳細が含まれています。設定履歴ファイルと設定スナップショットは JSON 形式です。
**注記**
AWS Config は、設定履歴ファイルと設定スナップショットを指定された S3 バケットにのみ配信します。S3 バケット内のオブジェクトのライフサイクルポリシーは変更 AWS Config しません。ライフサイクルポリシーを使用して、オブジェクトを削除するか、Amazon Glacier にアーカイブするかを指定できます。詳細については、*Amazon Simple Storage Service Console ユーザーガイド*中の[ライフサイクル設定の管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LifecycleConfiguration.html)を参照してください。ブログ投稿の「[Archiving Amazon S3 Data to Amazon Glacier](https://aws.amazon.com/blogs/aws/archive-s3-to-glacier/)」も参照してください。
### Amazon SNS トピック
Amazon Simple Notification Service (Amazon SNS) トピックは、E メールアドレスなどのサブスクライブしているエンドポイントやクライアントにメッセージ (または*通知*) を配信するために Amazon SNS で使用する通信チャネルです。その他の種類の Amazon SNS 通知として、携帯電話のアプリへのプッシュ通知メッセージ、SMS 対応の携帯電話やスマートフォンへのショートメッセージサービス (SMS) 通知、HTTP POST リクエストなどがあります。最適な結果を得るために、SNS トピックの通知エンドポイントとして Amazon SQS を使用し、通知内の情報をプログラムで処理します。
AWS Config は、指定した Amazon SNS トピックを使用して通知を送信します。受信する通知の種類は、次の例に示すように、メッセージ本文の `messageType` キーの値で示されます。
```
"messageType": "ConfigurationHistoryDeliveryCompleted"
```
通知のメッセージタイプは、以下のいずれかです。
| **メッセージタイプ** | **説明** |
| --- | --- |
| ComplianceChangeNotification | が AWS Config 評価するリソースのコンプライアンスタイプが変更されました。コンプライアンスタイプは、リソースが特定の AWS Config ルールに準拠しているかどうかを示し、メッセージ内の ComplianceType キーで表されます。メッセージには、比較のために newEvaluationResult オブジェクトと oldEvaluationResult オブジェクトが含まれます。 |
| ConfigRulesEvaluationStarted | AWS Config は、指定されたリソースに対するルールの評価を開始しました。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config は、Amazon S3 バケットへの設定スナップショットの配信を開始しました。Amazon S3 バケットの名前は、メッセージの s3Bucket キーで示されます。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config は、設定スナップショットを Amazon S3 バケットに正常に配信しました。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config は、設定スナップショットを Amazon S3 バケットに配信できませんでした。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config は、設定履歴を Amazon S3 バケットに正常に配信しました。 |
| ConfigurationItemChangeNotification | リソースが作成または削除されるか、設定が変更されました。このメッセージには、この変更に対して が AWS Config 作成する設定項目の詳細と、変更のタイプが含まれます。これらの通知は、変更後数分以内に配信され、まとめて設定ストリームと呼ばれます。 |
| OversizedConfigurationItemChangeNotification | このメッセージタイプは、設定項目の変更通知が Amazon SNS の最大許容サイズを超えた時に配信されます。メッセージには設定項目の概要が含まれます。SMS メッセージを除き、Amazon SNS メッセージには、XML、JSON、フォーマットされていないテキストなど、最大 256 KB のテキストデータを含めることができます。完全な通知の参照先は、指定した Amazon S3 バケット内にあります。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config は、オーバーサイズの設定項目変更通知を Amazon S3 バケットに配信できませんでした。 |
通知の例については、「[Amazon SNS トピック AWS Config に送信する通知](notifications-for-AWS-Config.md)」を参照してください。Amazon SNS の詳細については、[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/) を参照してください。
**注記**
**最新の設定変更が表示されないのはなぜですか?**
AWS Config 通常、 は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がいつか解決しない場合は、 [サポート](https://aws.amazon.com/contact-us/)に連絡して、Amazon CloudWatch でサポートされている AWS Config メトリクスを指定します。これらの使用状況メトリクスの詳細については、「[AWS Config Usage and Success Metrics](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aws-config-dashboard.html)」を参照してください 。
## へのアクセスを制御する AWS Config
AWS Identity and Access Management は、Amazon Web Services (AWS) のお客様がユーザーとユーザーのアクセス許可を管理できるようにするウェブサービスです。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については *IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) を参照してください。
# AWS Config 用語と概念
このトピックでは AWS Config、理解しやすくするために、いくつかの主要な概念について説明します。
**Contents**
+ [AWS Config インターフェイス](#config-concepts-manage)
+ [AWS Config コンソール](#config-concepts-console)
+ [AWS Config CLI](#config-concepts-cli)
+ [AWS Config APIs](#config-concepts-api)
+ [AWS Config SDKs](#config-concepts-sdk)
+ [リソース管理](#config-platform-concept)
+ [AWS リソース](#aws-resources)
+ [リソース関係](#resource-relationship)
+ [設定レコーダー](#config-recorder)
+ [配信チャネル](#delivery-channel)
+ [設定項目](#config-items)
+ [設定履歴](#config-history)
+ [設定スナップショット](#config-snapshot)
+ [設定ストリーム](#config-stream)
+ [AWS Config ルール](#aws-config-rules)
+ [評価結果](#aws-config-managed-rules-evaluation-results)
+ [ルールタイプ](#aws-config-managed-rules-type)
+ [トリガータイプ](#aws-config-rules-trigger)
+ [評価モード](#aws-config-rules-proactive-detective)
+ [コンフォーマンスパック](#aws-config-conformance-packs)
+ [マルチアカウントマルチリージョンのデータ集約](#multi-account-multi-region-data-aggregation)
+ [ソースアカウント](#source-accounts)
+ [送信元リージョン](#source-region)
+ [アグリゲータ](#aggregator)
+ [サービスにリンクされたアグリゲータ](#aggregator-service-linked)
+ [アグリゲータアカウント](#aggregator-accounts)
+ [Authorization](#authorization)
## AWS Config インターフェイス
### AWS Config コンソール
AWS Config コンソールを使用してサービスを管理できます。の詳細については AWS マネジメントコンソール、「」を参照してください[AWS マネジメントコンソール](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)。
### AWS Config CLI
AWS Command Line Interface は、コマンドライン AWS Config から操作するために使用できる統合ツールです。詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。 AWS Config CLI コマンドの完全なリストについては、[「使用可能なコマンド](https://docs.aws.amazon.com/cli/latest/reference/configservice/index.html)」を参照してください。
### AWS Config APIs
コンソールと CLI に加えて、 AWS Config RESTful APIs を使用して AWS Config 直接プログラムすることもできます。詳細については、「[ APIリファレンスAWS Config](https://docs.aws.amazon.com/config/latest/APIReference/)」を参照してください。
### AWS Config SDKs
AWS Config API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、 AWS Configへのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、[Amazon Web Services のツール](https://aws.amazon.com/tools/)ページを参照してください。
## リソース管理
の基本的なコンポーネントを理解すること AWS Config で、リソースのインベントリと変更を追跡し、 AWS リソースの設定を評価するのに役立ちます。
### AWS リソース
*AWS リソース*は、、 AWS Command Line Interface (CLI) AWS マネジメントコンソール、 AWS SDKs、または AWS パートナーツールを使用して作成および管理するエンティティです。リソースの例としては AWS 、Amazon EC2 インスタンス、セキュリティグループ、Amazon VPCs、Amazon Elastic Block Store などがあります。 は、リソース ID や Amazon リソース[ネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN) などの一意の識別子を使用して各リソース AWS Config を参照します。が AWS Config サポートするリソースタイプのリストについては、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。
### リソース関係
AWS Config はアカウント内の AWS リソースを検出し、 AWS リソース間の関係のマップを作成します。例えば関係には、セキュリティグループ `sg-ef678hk` に関連付けられている Amazon EC2 インスタンス `i-a1b2c3d4` に接続された Amazon EBS ボリューム `vol-123ab45d` が含まれる場合があります。
詳細については、「[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)」を参照してください。
## 設定レコーダー
*設定レコーダー*は、範囲に含まれるリソースタイプの設定変更を設定項目として保存します。詳細については、「[設定レコーダーの使用](stop-start-recorder.md)」を参照してください。
設定レコーダーには 2 つのタイプがあります。
| **タイプ** | **説明** |
| --- | --- |
| カスタマー管理設定レコーダー | ユーザーが管理する設定レコーダー。範囲に含まれるリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 が実行されている AWS リージョン でサポートされているすべてのリソースを記録します。 |
| サービスリンク設定レコーダー | 特定の にリンクされた設定レコーダー AWS のサービス。範囲に含まれるリソースタイプは、リンクされたサービスによって設定されます。 |
## 配信チャネル
は、 AWS リソースに発生した変更 AWS Config を継続的に記録し、*配信チャネル*を介して通知と更新された設定状態を送信します。配信チャネルを管理して、 が設定更新 AWS Config を送信する場所を制御できます。
### 設定項目
*設定項目は*、アカウントに存在するサポートされている AWS リソースのさまざまな属性のpoint-in-timeビューを表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントが含まれます。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。たとえば、 AWS Config が Amazon S3 バケットを記録している場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。 AWS Config に を選択して、設定した記録頻度で設定項目を作成することもできます。
詳細については、「[設定項目のコンポーネント](config-item-table.md)」および「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-recording-frequency.html)」を参照してください。
### 設定履歴
設定履歴**は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、記録される各リソースタイプの設定履歴ファイルを、指定した Amazon S3 バケット AWS Config に自動的に配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。
詳細については、「[Viewing Compliance History](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)」と「[Querying Compliance History](https://docs.aws.amazon.com/config/latest/developerguide/quering-resource-compliance-history.html)」を参照してください。
### 設定スナップショット
設定スナップショット**は、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
詳細については、「[Delivering Configuration Snapshots](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)」、「[Viewing Configuration Snapshots](https://docs.aws.amazon.com/config/latest/developerguide/view-configuration-snapshot.html)」、「[Example Configuration Snapshot](https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html)」を参照してください。
### 設定ストリーム
*設定ストリーム*は、記録するリソースのすべての設定項目の自動更新リスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、 AWS リソースの設定を反映する必要がある外部システムを更新したりできるように、設定変更が発生したときに監視するのに役立ちます。
## AWS Config ルール
AWS Config ルールは、特定の AWS リソースの理想的な設定を管理するのに役立つコンプライアンスチェックです。 は、リソース設定が関連ルールに準拠しているかどうか AWS Config を評価し、コンプライアンス結果を表示します。
### 評価結果
AWS Config ルールには 4 つの評価結果があります。
| **評価結果** | **説明** |
| --- | --- |
| COMPLIANT | ルールはコンプライアンスチェックの条件を満たしています。 |
| NON\$1COMPLIANT | ルールがコンプライアンスチェックの条件を満たしていません。 |
| ERROR | 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 |
| NOT\$1APPLICABLE | ルールのロジックを適用できないリソースを除外するために使用されます。例えば、[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html) ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。 |
### ルールタイプ
ルールには 2 つのタイプがあります。ルール定義とルールメタデータの構造の詳細については、[AWS Config 「 ルールのコンポーネント](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html)」を参照してください。
| **タイプ** | **説明** | **詳細情報** |
| --- | --- | --- |
| マネージドルール | によって作成された事前定義のカスタマイズ可能なルール AWS Config。 | マネージドルールのリストについては、[AWS Config 「マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)」を参照してください。 |
| カスタムルール | ゼロから作成するルール。 AWS Config カスタムルールを作成するには、Lambda 関数 ([AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function)) と Guard ([Guard GitHub リポジトリ](https://github.com/aws-cloudformation/cloudformation-guard)) の 2 つの方法があります。 | 詳細については、[「カスタムポリシールールの作成 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html)」および[AWS Config 「カスタム Lambda ルールの作成](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html)」を参照してください。 |
### トリガータイプ
アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 AWS Config は引き続き、評価がトリガーされるたびに評価を実行します。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。
| トリガータイプ | **説明** |
| --- | --- |
| 設定変更 | AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。どのリソースで評価を開始するかは、ルールの*スコープ*で定義します。スコープには以下を含めることができます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-concepts.html) AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。 |
| 定期的 | AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。 |
| ハイブリッド | 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定の変更を検出したときと、指定した頻度でリソース AWS Config を評価します。 |
### 評価モード
AWS Config ルールには 2 つの評価モードがあります。
| **評価モード** | **説明** |
| --- | --- |
| プロアクティブ | プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、 リージョンのアカウントにあるプロアクティブルールのセットを考慮すると、 AWS リソースを定義するためにリソースプロパティのセットが COMPLIANT か NON\$1COMPLIANT かを評価することができます。 詳細については、「[評価モード](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、[「評価モード別の AWS Config マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)」を参照してください。 |
| 検出 | 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソースの設定内容を評価できます。 |
**注記**
プロアクティブルールは、NON\$1COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。
## コンフォーマンスパック
コンフォーマンスパックは、アカウントとリージョンの単一のエンティティとして、または の組織全体に簡単にデプロイできる AWS Config ルールと修復アクションのコレクションです AWS Organizations。
コンフォーマンスパックは、 AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含む YAML テンプレートを作成することにより作成します。テンプレートは、 AWS Config コンソールまたは AWS CLIを使用してデプロイできます。
すぐに開始して AWS 環境を評価するには、[サンプルコンフォーマンスパックテンプレート](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)のいずれかを使用します。[カスタムコンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)に基づいてコンフォーマンスパックの YAML ファイルをゼロから作成することもできます。カスタムコンフォーマンスパックは、アカウントと AWS リージョン、または の組織全体に一緒にデプロイできる AWS Config ルールと修復アクションの一意のコレクションです AWS Organizations。
**プロセスチェック**は、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できる AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。urations や手動チェックを含むすべてのコンプライアンスを 1 AWS Configか所で追跡できます。
## マルチアカウントマルチリージョンのデータ集約
のマルチアカウントマルチリージョンデータ集約 AWS Config を使用すると、複数のアカウントとリージョンの設定データとコンプライアンスデータを 1 つのアカウントに集約 AWS Config できます。マルチアカウントマルチリージョンデータ集約は、中央 IT 管理者がエンタープライズ AWS アカウント 内の複数の のコンプライアンスをモニタリングするのに役立ちます。アグリゲータを使用しても、追加コストは発生しません。
### ソースアカウント
ソースアカウントは、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizationsの組織を指定できます。ソースアカウントは個別に提供することも、取得することもできます AWS Organizations。
### 送信元リージョン
ソースリージョンは、 AWS Config 設定データとコンプライアンスデータを集約する AWS リージョンです。
### アグリゲータ
アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定とコンプライアンスデータを収集します。集約された AWS Config 設定とコンプライアンスデータを表示するリージョンにアグリゲータを作成します。
**注記**
アグリゲータでは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることにより、アグリゲータが閲覧を許可されているソースアカウントとリージョンに対して、*読み取り専用ビュー*を提供します。アグリゲータでは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを使用してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりできないということを意味します。
### サービスにリンクされたアグリゲータ
サービスにリンクされたアグリゲータは、特定の にリンクされます AWS のサービス。範囲内の設定データとコンプライアンスデータは、リンクされたサービスによって設定されます。
### アグリゲータアカウント
アグリゲータアカウントは、アグリゲータを作成するアカウントです。
### Authorization
ソースアカウントの所有者として、認可とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。
# AWSとのサービス統合AWS Config
AWS Configは、他のいくつかのAWSサービスとの統合をサポートしています。これはすべてを網羅したリストではありません。
## AWS Organizations
AWS Organizationsを使用して、AWS Configマルチアカウント、マルチリージョンのデータ集約機能に使用するアカウントを定義できます。AWS Organizationsは、作成して一元管理するAWS アカウント組織に複数の を統合するのに役立つアカウント管理サービスです。AWS Organizations詳細を指定することで、組織全体のコンプライアンスステータスをモニタリングできます。詳細については、「*AWS Organizationsユーザーガイド*」の「[AWS ConfigおよびAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)」を参照してください。
## AWS Control Tower
AWS Control Towerは、すべての登録済みアカウントAWS Configで を有効にするため、検出コントロールによるコンプライアンスのモニタリング、リソースの変更の記録、ログアーカイブアカウントへのリソース変更ログの配信を行うことができます。詳細については、「AWS Control Towerユーザーガイド」の「[Monitor resource changes with AWS Config](https://docs.aws.amazon.com/controltower/latest/userguide/monitoring-with-config.html)」を参照してください。
## AWS CloudTrail
AWS Configは と統合AWS CloudTrailして、設定の変更をアカウントの特定のイベントに関連付けます。CloudTrail ログを使用して、リクエストを行ったユーザー、時刻、IP アドレスなど、変更を呼び出したイベントの詳細を取得できます。CloudTrail コンソールからAWS Configタイムラインに移動して、AWS API アクティビティに関連する設定変更を表示できます。
詳細については、「 *AWS Configデベロッパーガイド*」の[「 を使用したAWS Config API コールのログ記録AWS CloudTrail](https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html)」および「 *AWS CloudTrailユーザーガイド*」の[「 コンソールを使用してAWS Config設定項目のイベントデータストアを作成する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-config.html)」を参照してください。
## AWS Security Hub CSPM
AWS Security Hub CSPMは、AWS Configルールを含む他のAWSサービスからのセキュリティチェックを一元化します。Security Hub は、リソース設定がベストプラクティスに沿っていることを確認するAWS Configルールを有効にして制御します。Security Hub CSPM が環境のリソースでセキュリティチェックを実行するすべてのリージョンAWS Configのすべてのアカウントで を有効にします。詳細については、「*AWS Security Hub CSPMユーザーガイド*」の「[AWS services that send findings to Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html#integrations-internal-send)」を参照してください。
**一部の Security Hub CSPM 関連のルールは定期的であり、設定項目に依存しません**
一部の Security Hub CSPM 関連のルールは定期的です。これらのルールは設定レコーダーが有効になっていなくても実行できます。また、設定項目 (CI) に依存しません。
つまり、ルールページを表示すると、リストされた CI やサポートされているリソースは表示されません。リソース ID を選択すると、`The provided resource ID and resource type cannot be found` というエラーが表示されます。これは想定される動作です。
## AWS Trusted Advisor
AWS Configマネージドルールは、すべてのカテゴリにわたって一連のTrusted Advisorチェックを強化します。特定のマネージドルールを有効にすると、対応するTrusted Advisorチェックが自動的に有効になります。特定のAWS ConfigマネージドルールによるTrusted Advisorチェックを確認するには、「 *AWS サポートユーザーガイド*」の[AWS Trusted Advisor「 チェックリファレンス](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)」を参照してください。
AWS Configパワードチェックは、[AWSビジネスサポート](https://aws.amazon.com/premiumsupport/plans/business/)、[AWSエンタープライズオンランプ](https://aws.amazon.com/premiumsupport/plans/enterprise-onramp/)、[AWSエンタープライズサポート](https://aws.amazon.com/premiumsupport/plans/enterprise/)プランのお客様が利用できます。を有効にAWS Configし、これらのAWSサポートプランのいずれかがある場合、対応するデプロイされたAWS Configマネージドルールに基づくレコメンデーションが自動的に表示されます。
**更新リクエストは許可されず、リソースを除外することはできません**
これらのチェックの結果は、AWS Configマネージドルールの変更によってトリガーされた更新に基づいて自動的に更新されます。更新要求は許可されません。現時点では、これらのチェックからリソースを除外することはできません。
詳細については、「 *AWS サポートユーザーガイド*[」の「 によるTrusted Advisorチェックの表示AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)」を参照してください。
## AWS Audit Manager
Audit Manager を使用して、AWS Config評価を監査の証拠としてキャプチャできます。カスタムコントロールを作成または編集するときに、証拠収集のデータソースマッピングとして 1 つ以上のAWS Configルールを指定できます。 はこれらのルールに基づいてコンプライアンスチェックAWS Configを実行し、Audit Manager は結果をコンプライアンスチェックの証拠として報告します。詳細については、「*AWS Audit Managerユーザーガイド*」の「[AWS Config Rules supported by AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html)」を参照してください。
## AWS Systems Manager
AWS Configは Systems Manager と統合して、オンプレミス環境の Amazon EC2 インスタンスとサーバーでソフトウェアの設定変更を記録します。この統合により、オペレーティングシステム (OS) 設定、システムレベルの更新、インストールされたアプリケーション、ネットワーク設定などに関する可視性を獲得できます。AWS Configは、Amazon EC2 インスタンスに記録されたインフラストラクチャ設定変更とともに、OS およびシステムレベルの設定変更の履歴も提供します。Systems Manager コンソールからAWS Configタイムラインに移動して、マネージド Amazon EC2 インスタンスの設定変更を表示できます。を使用してAWS Config、Systems Manager のインベントリ履歴を表示し、すべてのマネージドインスタンスの変更を追跡できます。
詳細については、「 *AWS Systems Managerユーザーガイド*[」の「AWSサービスとの統合 \$1 管理とガバナンス](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)、[AWS Config設定レコーダー](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)、および[AWS Configコンフォーマンスパックのデプロイ](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)」を参照してください。
## AWS Firewall Manager
Firewall Manager を使用するには、AWS OrganizationsメンバーアカウントAWS Configごとに を有効にする必要があります。新しいアプリケーションが作成されると、Firewall Manager はファイアウォールルールを構築し、セキュリティポリシーを作成し、一貫して適用するための単一のサービスです。詳細については、、*AWS WAF、AWS Firewall ManagerおよびAWS Shield Advancedデベロッパーガイド*の[「Enable AWS Config](https://docs.aws.amazon.com/waf/latest/developerguide/enable-config.html)」を参照してください。
**注記**
Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。連続記録と毎日の記録の詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
## Amazon EC2 専有ホスト
AWS Configは Amazon EC2 Dedicated Hosts と統合してライセンスコンプライアンスを評価します。 は、Dedicated Host でインスタンスが起動、停止、またはシャットダウンされたときにAWS Configを記録し、この情報をホスト ID、Amazon Machine Image (AMI) IDs、ソケット数、物理コアなどのソフトウェアライセンスに関連するホストおよびインスタンスレベルの情報とペアにします。これにより、ライセンスレポートのデータソースAWS Configとして を使用できます。Amazon EC2 Dedicated Hosts コンソールからAWS Configタイムラインに移動して、Amazon EC2 Dedicated Hosts の設定変更を表示できます。
詳細については、「*Linux インスタンス向け Amazon Elastic Compute Cloud ユーザーガイド*」の「[設定の変更を追跡する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-aws-config.html)」または「*Windows インスタンス向け Amazon Elastic Compute Cloud ユーザーガイド*」の「[設定の変更を追跡する](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/dedicated-hosts-aws-config.html)」を参照してください。
## アプリケーション ロード バランサー
AWS Configは Elastic Load Balancing (ELB) サービスと統合して、Application Load Balancer の設定変更を記録します。 には、関連する Amazon EC2 セキュリティグループ、VPCs、サブネットとの関係AWS Configも含まれています。この情報は、セキュリティ分析とトラブルシューティングに役立ちます。例えば、どのセキュリティグループが Application Load Balancer に関連付けられているかを随時確認できます。ELB コンソールからAWS Configタイムラインに移動して、Application Load Balancer の設定変更を表示できます。
## AWS CodeBuild
AWS Configは、AWSリソースのインベントリと、これらのリソースの設定変更の履歴を提供します。 はAWS CodeBuild、AWSリソースとしてAWS Configをサポートします。つまり、サービスは CodeBuild プロジェクトを追跡できます。詳細については、「 *AWS CodeBuildユーザーガイド*」の[CodeBuild AWS Configでの使用」サンプル](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-integrate-config.html)を参照してください。
## AWS X-Ray
AWS X-Rayは と統合AWS Configして、X-Ray 暗号化リソースに加えられた設定変更を記録します。AWS Configを使用して、X-Ray 暗号化リソースのインベントリ、X-Ray 設定履歴の監査、リソースの変更に基づく通知の送信を行うことができます。詳細については、「*AWS X-Rayデベロッパーガイド*」の「[Tracking X-Ray encryption configuration changes with AWS Config](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-config.html)」を参照してください。
## AWS Service Management Connector
AWS Service Management Connector for ServiceNow は、アグリゲータを使用して複数のアカウントとリージョンのAWS Configデータを同期できます。詳細については、「 *AWS Service Management Connector管理者ガイド*」の[ServiceNow AWS Configでの統合](https://docs.aws.amazon.com/smc/latest/ag/sn-configue-config.html)」を参照してください。
## Amazon API Gateway
を使用してAWS Config、API Gateway API リソースに加えられた設定変更を記録し、リソースの変更に基づいて通知を送信できます。API Gateway リソースの設定変更履歴を維持することは、運用上のトラブルシューティング、監査、およびコンプライアンスのユースケースに役立ちます。詳細については、「*API Gateway デベロッパーガイド*」の「[AWS Configによる API Gateway API 設定のモニタリング](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-config.html)」を参照してください。
# のリージョンサポート AWS Config
## 考慮事項
の一部の機能は AWS Config 、 がサポートされている AWS リージョンのサブセットでのみサポート AWS Config されています。
**リソース管理**
+ どの AWS リソースタイプがどのリージョンでサポートされているかのリストについては、[「Resource Coverage by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)」を参照してください。
**AWS Config ルール**
+ どのリージョンでどの AWS Config ルールがサポートされているかのリストについては、[「リージョンの可用性別の AWS Config マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html )」を参照してください。
+ AWS Config ルールの組織的なデプロイをサポートするリージョンのリストについては、[「組織ルール \$1 リージョンのサポート](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html#region-support-org-config-rules)」を参照してください。
**コンフォーマンスパック**
+ コンフォーマンスパックとコンフォーマンスパックの組織的なデプロイをサポートするリージョンのリストについては、「[コンフォーマンスパック \$1 リージョンのサポート](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html#conformance-packs-regions)」を参照してください。
**修正**
+ AWS Config ルールの修復アクションをサポートするリージョンのリストについては、[「修復アクション \$1 リージョンのサポート](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#region-support-config-remediation )」を参照してください。
**アグリゲーター**
+ アグリゲータをサポートするリージョンのリストについては、「[アグリゲータ \$1 リージョンのサポート](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html#aggregation-regions )」を参照してください。
**高度なクエリ**
+ 高度なクエリをサポートするリージョンのリストについては、「[高度なクエリ \$1 リージョンのサポート](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html#query-regionsupport)」を参照してください。
+ 高度なクエリ用の自然言語クエリプロセッサをサポートするリージョンのリストについては、「[Natural language query processor for advanced queries \$1 Region Support](https://docs.aws.amazon.com/config/latest/developerguide/query-assistant.html#query-assistant-region-support)」を参照してください。
## サポートされているリージョンのリスト
次の表に、有効にできる AWS リージョンを示します AWS Config。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-region-support.html)
# AWS Config のサービスの制限
次の表では、AWS Config 内の制限について説明します。特に明記されていない限り、クォータはリクエストに応じて引き上げることができます。[クォータの引き上げをリクエスト](https://console.aws.amazon.com/servicequotas/home)できます。
その他の AWS での制限については、[AWS のサービスの制限](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)を参照してください。
**リソースタグ**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| リソースあたりのタグの最大数 | 50 | なし |
**AWS Config ルール**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| 1 アカウント (1 リージョン) あたりの AWS Config ルールの最大数 | 1,000 | なし |
**単一アカウントのコンフォーマンスパック**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| アカウントあたりのコンフォーマンスパックの最大数 | 50 | なし |
| コンフォーマンスパックあたりの AWS Config ルールの最大数 | 130 | なし |
**注記**
アカウントあたりのリージョンごとの AWS Config ルールの最大数に対する制限のコンフォーマンスパック数における AWS Config ルール。
**組織コンフォーマンスパック**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| 組織ごとのコンフォーマンスパックの最大数 | 50 | なし |
| 組織コンフォーマンスパックあたりの AWS Config ルールの最大数 | 130 | なし |
**注記**
組織レベルでデプロイすると、子アカウントの制限でカウントされます。アカウントあたりのリージョンごとの AWS Config ルールの最大数に対する制限のコンフォーマンスパック数における AWS Config ルール。
**アグリゲータ**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| 設定アグリゲータの最大数 | 50 | はい |
| アグリゲータ内のアカウントの最大数 | 10000 | なし |
| すべてのアグリゲータで週ごとに追加または削除されるアカウントの最大数 | 1,000 | あり |
**注記**
組織単位のアグリゲータと個々のアカウントのアグリゲータはどちらも、設定アグリゲータの最大数の制限にカウントされます。
**高度なクエリ**
| 説明 | 制限値 | 引き上げ可能 |
| --- | --- | --- |
| 1 つのアカウントと 1 つのリージョンに保存されたクエリの最大数 | 300 | あり |
# AWS Config の補足情報と関連リソース
このサービスを利用する際に役立つ関連リソースは次のとおりです。
+ ** [AWS Config](https://aws.amazon.com/config/)** -に関する情報が収められたメインのウェブページです。。AWS Config
+ **[AWS Config の料金](https://aws.amazon.com/config/pricing)**
+ **[テクニカル FAQ](https://aws.amazon.com/config/faq/)**
+ **[AWS Config ルール開発キット (RDK)](https://rdk.readthedocs.io/en/latest/)** - AWS Config や作成者ルールのセットアップに役立つオープンソースツールです。さまざまな AWS リソースタイプを使用してそれらをテストします。
+ **[パートナー](https://aws.amazon.com/config/partners/)** - AWS Config と完全に統合されたパートナー製品へのリンクです。設定のストリーミング、設定スナップショット、または設定履歴からのデータの視覚化、モニタリング、管理に役立ちます。
+ [クラスとワークショップ](https://aws.amazon.com/training/course-descriptions/) – AWS のスキルを磨き、実践的な経験が得るために役立つセルフペースラボに加えて、ロールベースのコースと特別コースへのリンクです。
+ [AWS デベロッパーセンター](https://aws.amazon.com/developer/?ref=docs_id=res1) – チュートリアルの検索、ツールのダウンロード、AWS デベロッパーイベントの確認を行います。
+ [AWS デベロッパーツール](https://aws.amazon.com/developer/tools/?ref=docs_id=res1) - AWS アプリケーションを開発および管理するためのデベロッパーツール、SDK、IDE ツールキット、およびコマンドラインツールへのリンクです。
+ [ご利用開始のためのリソースセンター](https://aws.amazon.com/getting-started/?ref=docs_id=res1) — AWS アカウント をセットアップする方法、AWS コミュニティに参加する方法、最初のアプリケーションを起動する方法を説明します。
+ [ハンズオンチュートリアル](https://aws.amazon.com/getting-started/hands-on/?ref=docs_id=res1) - ステップ バイ ステップのチュートリアルに従って、最初のアプリケーションを AWS で起動します。
+ [AWS ホワイトペーパー](https://aws.amazon.com/whitepapers/) – アーキテクチャ、セキュリティ、エコノミクスなどのトピックについて、AWS のソリューションアーキテクトや他の技術エキスパートが記述した AWS の技術ホワイトペーパーの包括的なリストへのリンクです。
+ [AWS サポート センター](https://console.aws.amazon.com/support/home#/) – AWS サポート のケースを作成して管理するためのハブです。フォーラム、技術上のよくある質問、サービスヘルスステータス、AWS Trusted Advisor など、他の役立つリソースへのリンクも含まれています。
+ [サポート](https://aws.amazon.com/premiumsupport/) – サポート に関する情報のメインウェブページです。クラウド内でのアプリケーションの構築および実行を支援するために 1 対 1 での迅速な対応を行うサポートチャネルとして機能します。
+ [お問い合わせ](https://aws.amazon.com/contact-us/) – AWS の請求、アカウント、イベント、不正使用、その他の問題などに関するお問い合わせの受付窓口です。
+ [AWS サイトの利用規約](https://aws.amazon.com/terms/) – 当社の著作権、商標、お客様のアカウント、ライセンス、サイトへのアクセス、およびその他のトピックに関する詳細情報です。
## AWS の ソフトウェア開発キットAWS Config
AWS ソフトウェア開発キット (SDK) を使用すると、コスト効率、スケーラビリティ、信頼性に優れた AWS インフラストラクチャサービスにアクセスするアプリケーションを簡単に構築できます。AWS SDK では、ライブラリ、コード例、参照資料がダウンロード可能な 1 つのパッケージにまとめられているため、数分で使用を開始できます。次の表は、AWS Config にプログラムでアクセスする際に使用できる SDK およびサードパーティーライブラリをまとめたものです。
****
| アクセスのタイプ | 説明 |
| --- | --- |
| AWS SDK | AWS は以下の SDK を提供しています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cloudconfig-resources.html) |
| サードパーティライブラリ | AWS 開発者コミュニティの開発者も独自のライブラリを提供しており、以下の AWS 開発者センターから入手できます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cloudconfig-resources.html) |