AWS Config の用語と概念 - AWS Config
AWS Config インターフェイスリソース管理構成レコーダー配信チャネルAWS Config ルールコンフォーマンスパックアグリゲーター

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config の用語と概念

を理解するために AWS Config、このトピックではいくつかの主要な概念について説明します。

AWS Config インターフェイス

AWS Config コンソール

AWS Config コンソールを使用してサービスを管理できます。の詳細については、 AWS Management Console「」を参照してくださいAWS Management Console

AWS Config CLI

AWS Command Line Interface は、コマンドライン AWS Config から操作するために使用できる統合ツールです。詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。 AWS Config CLI コマンドの完全なリストについては、「使用可能なコマンド」を参照してください。

AWS Config APIs

コンソールと CLI に加えて、 AWS Config RESTful APIs を使用して AWS Config 直接プログラムすることもできます。詳細については、「 APIリファレンスAWS Config」を参照してください。

AWS Config SDKs

AWS Config API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、 AWS Configへのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、Amazon Web Services のツールページを参照してください。

リソース管理

の基本的なコンポーネントを理解すること AWS Config は、リソースのインベントリと変更を追跡し、 AWS リソースの設定を評価するのに役立ちます。

AWS リソース

AWS リソースは、、 AWS Command Line Interface (CLI) AWS Management Console、 AWS SDKs、または AWS パートナーツールを使用して作成および管理するエンティティです。リソースの例としては AWS 、Amazon EC2 インスタンス、セキュリティグループ、Amazon VPCs、Amazon Elastic Block Store などがあります。 は、リソース ID や Amazon リソースネーム (ARN) などの一意の識別子を使用して各リソース AWS Config を参照します。が AWS Config サポートするリソースタイプのリストについては、「」を参照してくださいサポートされているリソースタイプ

リソース関係

AWS Config はアカウント内の AWS リソースを検出し、 AWS リソース間の関係のマップを作成します。例えば関係には、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス i-a1b2c3d4 に接続された Amazon EBS ボリューム vol-123ab45d が含まれる場合があります。

詳細については、「サポートされているリソースタイプ」を参照してください。

構成レコーダー

構成レコーダーは、サポートされるリソースの構成を設定項目としてアカウントに保存します。記録を開始する前に、設定レコーダーを作成して起動する必要があります。設定レコーダーはいつでも停止して再起動できます。詳細については、「設定レコーダーの管理」を参照してください。

デフォルトでは、設定レコーダー AWS Config は、 が実行されているリージョンでサポートされているすべてのリソースを記録します。設定レコーダーをカスタマイズして、指定したリソースタイプのみを記録することもできます。詳細については、「記録 AWS リソース」を参照してください。

AWS Management Console または CLI を使用してサービスを有効にすると、 によって AWS Config 自動的に設定レコーダーが作成され、起動されます。

配信チャネル

は、 AWS リソースに発生した変更 AWS Config を継続的に記録するため、配信チャネル を介して通知と更新された設定状態を送信します。配信チャネルを管理して、 が設定更新 AWS Config を送信する場所を制御できます。

設定項目

設定項目は、アカウントに存在するサポートされている AWS リソースのさまざまな属性の point-in-time ビューを表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、および関連イベントが含まれます。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。例えば、 AWS Config が Amazon S3 バケットを記録する場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。 AWS Config に を選択して、設定した記録頻度で設定項目を作成することもできます。

詳細については、Components of a Configuration Item「」および「記録頻度」を参照してください。

設定履歴

設定履歴は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、記録されるリソースタイプごとに設定履歴ファイルを、指定した Amazon S3 バケット AWS Config に自動的に配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。

詳細については、「コンプライアンス履歴の表示」および「コンプライアンス履歴のクエリ」を参照してください。

設定スナップショット

設定スナップショットは、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。

詳細については、「設定スナップショットの配信」、「設定スナップショットの表示」、および「設定スナップショットの例」を参照してください。 https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html

設定ストリーム

設定ストリームは、記録するリソースのすべての設定項目を自動的に更新したリスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、リソースの設定を反映する必要がある外部システムを更新したりできるように、設定の変更をモニタリングするのに役立ちます AWS 。

AWS Config ルール

AWS Config ルールは、特定の AWS リソースまたは 全体に必要な構成設定を表します AWS アカウント。リソースがルールチェックに合格しない場合、 はリソースとルールを非準拠の として AWS Config フラグ付けし、Amazon SNS を通じて AWS Config 通知します。 AWS Config ルールで考えられる評価結果は、次のとおりです。

  • COMPLIANT - ルールはコンプライアンスチェックの条件を満たしています。

  • NON_COMPLIANT - ルールがコンプライアンスチェックの条件を満たしていません。

  • ERROR - 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。

  • NOT_APPLICABLE - ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。

ルールには、 AWS Config マネージドルールと AWS Config カスタムルールの 2 種類があります。ルール定義とルールメタデータの構造の詳細については、「 ルールのコンポーネント AWS Config」を参照してください。

AWS Config マネージドルール

AWS Config マネージドルールは、 によって作成された事前定義されたカスタマイズ可能なルールです AWS Config。マネージドルールのリストについては、AWS Config 「 マネージドルールのリスト」を参照してください。

AWS Config カスタムルール

AWS Config カスタムルールは、ゼロから作成するルールです。 AWS Config カスタムルールを作成するには、Lambda 関数 (AWS Lambda デベロッパーガイド) と Guard (Guard GitHub リポジトリ) の 2 つの方法があります。 で AWS Lambda 作成された policy-as-code language. AWS Config custom ルールはAWS Config カスタム Lambda ルールと呼ばれ、Guard で作成された AWS Config カスタムルールはAWS Config カスタムポリシールールと呼ばれます。

AWS Config カスタムポリシールールの作成方法を示すチュートリアルについては、「カスタムポリシールールの作成 AWS Config」を参照してください。 AWS Config カスタム Lambda ルールの作成方法を示すチュートリアルについては、AWS Config 「カスタム Lambda ルールの作成」を参照してください。

トリガータイプ

アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 は、評価がトリガーされるたびに評価の実行を AWS Config 続行します。評価トリガーはルールの一部として定義され、次のタイプを含めることができます。

トリガータイプ 説明
設定変更 AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。

どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。

  • 1 つ以上のリソースタイプ

  • リソースタイプとリソース ID の組み合わせ

  • タグキーとタグ値の組み合わせ

  • 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。
定期的 AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。
ハイブリッド 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定の変更を検出したときと、指定した頻度でリソース AWS Config を評価します。

評価モード

AWS Config ルールには 2 つの評価モードがあります。

評価モード 説明
プロアクティブ

プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、 リージョンのアカウントにあるプロアクティブルールのセットを考慮すると、リソースを定義するために AWS リソースプロパティのセットが COMPLIANT か NON_COMPLIANT かを評価することができます。

詳細については、「評価モード」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。
検出 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。
注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

コンフォーマンスパック

コンフォーマンスパックは、アカウントおよびリージョンの単一のエンティティとして、または の組織全体に簡単にデプロイできる AWS Config ルールと修復アクションのコレクションです AWS Organizations。

コンフォーマンスパックは、 AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含む YAML テンプレートを作成することで作成します。テンプレートは、 AWS Config コンソールまたは AWS CLIを使用してデプロイできます。

すぐに開始して AWS 環境を評価するには、サンプルコンフォーマンスパックテンプレート のいずれかを使用します。カスタムコンフォーマンスパックに基づいてコンフォーマンスパックの YAML ファイルをゼロから作成することもできます。カスタムコンフォーマンスパックは、アカウントと AWS リージョン、または の組織全体に一緒にデプロイできる AWS Config ルールと修復アクションの一意のコレクションです AWS Organizations。

プロセスチェックは、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できる AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。 AWS Config urations や手動チェックを含むすべてのコンプライアンスを 1 か所で追跡できます。

マルチアカウントマルチリージョンのデータ集約

のマルチアカウントマルチリージョンデータ集約 AWS Config を使用すると、複数のアカウントとリージョンの設定データとコンプライアンスデータを 1 つのアカウントに集約 AWS Config できます。マルチアカウントマルチリージョンのデータ集約は、中央 IT 管理者がエンタープライズ AWS アカウント 内の複数の のコンプライアンスをモニタリングするのに役立ちます。アグリゲータを使用しても、追加コストは発生しません。

ソースアカウント

ソースアカウントは、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizationsの組織を指定できます。ソースアカウントは個別に提供することも、 を通じて取得することもできます AWS Organizations。

送信元リージョン

ソースリージョンは、 AWS Config 設定およびコンプライアンスデータを集約する AWS リージョンです。

アグリゲータ

アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定およびコンプライアンスデータを収集します。集約された AWS Config 設定とコンプライアンスデータを表示するリージョンにアグリゲータを作成します。

注記

アグリゲータは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることで、アグリゲータが表示を許可されているソースアカウントとリージョンへの読み取り専用ビューを提供します。アグリゲータは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを介してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりすることはできません。

アグリゲータアカウント

アグリゲータアカウントは、アグリゲータを作成するアカウントです。

認証

ソースアカウントの所有者として、承認とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。