翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Config 用語と概念
このトピックでは AWS Config、理解しやすくするために、いくつかの主要な概念について説明します。
**Contents**
+ [AWS Config インターフェイス](#config-concepts-manage)
+ [AWS Config コンソール](#config-concepts-console)
+ [AWS Config CLI](#config-concepts-cli)
+ [AWS Config APIs](#config-concepts-api)
+ [AWS Config SDKs](#config-concepts-sdk)
+ [リソース管理](#config-platform-concept)
+ [AWS リソース](#aws-resources)
+ [リソース関係](#resource-relationship)
+ [設定レコーダー](#config-recorder)
+ [配信チャネル](#delivery-channel)
+ [設定項目](#config-items)
+ [設定履歴](#config-history)
+ [設定スナップショット](#config-snapshot)
+ [設定ストリーム](#config-stream)
+ [AWS Config ルール](#aws-config-rules)
+ [評価結果](#aws-config-managed-rules-evaluation-results)
+ [ルールタイプ](#aws-config-managed-rules-type)
+ [トリガータイプ](#aws-config-rules-trigger)
+ [評価モード](#aws-config-rules-proactive-detective)
+ [コンフォーマンスパック](#aws-config-conformance-packs)
+ [マルチアカウントマルチリージョンのデータ集約](#multi-account-multi-region-data-aggregation)
+ [ソースアカウント](#source-accounts)
+ [送信元リージョン](#source-region)
+ [アグリゲータ](#aggregator)
+ [サービスにリンクされたアグリゲータ](#aggregator-service-linked)
+ [アグリゲータアカウント](#aggregator-accounts)
+ [Authorization](#authorization)
## AWS Config インターフェイス
### AWS Config コンソール
AWS Config コンソールを使用してサービスを管理できます。の詳細については AWS マネジメントコンソール、「」を参照してください[AWS マネジメントコンソール](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)。
### AWS Config CLI
AWS Command Line Interface は、コマンドライン AWS Config から操作するために使用できる統合ツールです。詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。 AWS Config CLI コマンドの完全なリストについては、[「使用可能なコマンド](https://docs.aws.amazon.com/cli/latest/reference/configservice/index.html)」を参照してください。
### AWS Config APIs
コンソールと CLI に加えて、 AWS Config RESTful APIs を使用して AWS Config 直接プログラムすることもできます。詳細については、「[ APIリファレンスAWS Config](https://docs.aws.amazon.com/config/latest/APIReference/)」を参照してください。
### AWS Config SDKs
AWS Config API を使用する代わりに、いずれかの AWS SDKsを使用できます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、 AWS Configへのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、[Amazon Web Services のツール](https://aws.amazon.com/tools/)ページを参照してください。
## リソース管理
の基本的なコンポーネントを理解すること AWS Config で、リソースのインベントリと変更を追跡し、 AWS リソースの設定を評価するのに役立ちます。
### AWS リソース
*AWS リソース*は、、 AWS Command Line Interface (CLI) AWS マネジメントコンソール、 AWS SDKs、または AWS パートナーツールを使用して作成および管理するエンティティです。リソースの例としては AWS 、Amazon EC2 インスタンス、セキュリティグループ、Amazon VPCs、Amazon Elastic Block Store などがあります。 は、リソース ID や Amazon リソース[ネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN) などの一意の識別子を使用して各リソース AWS Config を参照します。が AWS Config サポートするリソースタイプのリストについては、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。
### リソース関係
AWS Config はアカウント内の AWS リソースを検出し、 AWS リソース間の関係のマップを作成します。例えば関係には、セキュリティグループ `sg-ef678hk` に関連付けられている Amazon EC2 インスタンス `i-a1b2c3d4` に接続された Amazon EBS ボリューム `vol-123ab45d` が含まれる場合があります。
詳細については、「[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)」を参照してください。
## 設定レコーダー
*設定レコーダー*は、範囲に含まれるリソースタイプの設定変更を設定項目として保存します。詳細については、「[設定レコーダーの使用](stop-start-recorder.md)」を参照してください。
設定レコーダーには 2 つのタイプがあります。
| **タイプ** | **説明** |
| --- | --- |
| カスタマー管理設定レコーダー | ユーザーが管理する設定レコーダー。範囲に含まれるリソースタイプはユーザーが設定します。デフォルトでは、カスタマーマネージド設定レコーダー AWS Config は、 が実行されている AWS リージョン でサポートされているすべてのリソースを記録します。 |
| サービスリンク設定レコーダー | 特定の にリンクされた設定レコーダー AWS のサービス。範囲に含まれるリソースタイプは、リンクされたサービスによって設定されます。 |
## 配信チャネル
は、 AWS リソースに発生した変更 AWS Config を継続的に記録し、*配信チャネル*を介して通知と更新された設定状態を送信します。配信チャネルを管理して、 が設定更新 AWS Config を送信する場所を制御できます。
### 設定項目
*設定項目は*、アカウントに存在するサポートされている AWS リソースのさまざまな属性のpoint-in-timeビューを表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントが含まれます。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。たとえば、 AWS Config が Amazon S3 バケットを記録している場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。 AWS Config に を選択して、設定した記録頻度で設定項目を作成することもできます。
詳細については、「[設定項目のコンポーネント](config-item-table.md)」および「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-recording-frequency.html)」を参照してください。
### 設定履歴
設定履歴**は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、記録される各リソースタイプの設定履歴ファイルを、指定した Amazon S3 バケット AWS Config に自動的に配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。
詳細については、「[Viewing Compliance History](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)」と「[Querying Compliance History](https://docs.aws.amazon.com/config/latest/developerguide/quering-resource-compliance-history.html)」を参照してください。
### 設定スナップショット
設定スナップショット**は、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
詳細については、「[Delivering Configuration Snapshots](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)」、「[Viewing Configuration Snapshots](https://docs.aws.amazon.com/config/latest/developerguide/view-configuration-snapshot.html)」、「[Example Configuration Snapshot](https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html)」を参照してください。
### 設定ストリーム
*設定ストリーム*は、記録するリソースのすべての設定項目の自動更新リスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、 AWS リソースの設定を反映する必要がある外部システムを更新したりできるように、設定変更が発生したときに監視するのに役立ちます。
## AWS Config ルール
AWS Config ルールは、特定の AWS リソースの理想的な設定を管理するのに役立つコンプライアンスチェックです。 は、リソース設定が関連ルールに準拠しているかどうか AWS Config を評価し、コンプライアンス結果を表示します。
### 評価結果
AWS Config ルールには 4 つの評価結果があります。
| **評価結果** | **説明** |
| --- | --- |
| COMPLIANT | ルールはコンプライアンスチェックの条件を満たしています。 |
| NON\$1COMPLIANT | ルールがコンプライアンスチェックの条件を満たしていません。 |
| ERROR | 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 |
| NOT\$1APPLICABLE | ルールのロジックを適用できないリソースを除外するために使用されます。例えば、[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html) ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。 |
### ルールタイプ
ルールには 2 つのタイプがあります。ルール定義とルールメタデータの構造の詳細については、[AWS Config 「 ルールのコンポーネント](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html)」を参照してください。
| **タイプ** | **説明** | **詳細情報** |
| --- | --- | --- |
| マネージドルール | によって作成された事前定義のカスタマイズ可能なルール AWS Config。 | マネージドルールのリストについては、[AWS Config 「マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)」を参照してください。 |
| カスタムルール | ゼロから作成するルール。 AWS Config カスタムルールを作成するには、Lambda 関数 ([AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function)) と Guard ([Guard GitHub リポジトリ](https://github.com/aws-cloudformation/cloudformation-guard)) の 2 つの方法があります。 | 詳細については、[「カスタムポリシールールの作成 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html)」および[AWS Config 「カスタム Lambda ルールの作成](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html)」を参照してください。 |
### トリガータイプ
アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 AWS Config は引き続き、評価がトリガーされるたびに評価を実行します。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。
| トリガータイプ | **説明** |
| --- | --- |
| 設定変更 | AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。どのリソースで評価を開始するかは、ルールの*スコープ*で定義します。スコープには以下を含めることができます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-concepts.html) AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。 |
| 定期的 | AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。 |
| ハイブリッド | 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定の変更を検出したときと、指定した頻度でリソース AWS Config を評価します。 |
### 評価モード
AWS Config ルールには 2 つの評価モードがあります。
| **評価モード** | **説明** |
| --- | --- |
| プロアクティブ | プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、 リージョンのアカウントにあるプロアクティブルールのセットを考慮すると、 AWS リソースを定義するためにリソースプロパティのセットが COMPLIANT か NON\$1COMPLIANT かを評価することができます。 詳細については、「[評価モード](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、[「評価モード別の AWS Config マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)」を参照してください。 |
| 検出 | 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソースの設定内容を評価できます。 |
**注記**
プロアクティブルールは、NON\$1COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。
## コンフォーマンスパック
コンフォーマンスパックは、アカウントとリージョンの単一のエンティティとして、または の組織全体に簡単にデプロイできる AWS Config ルールと修復アクションのコレクションです AWS Organizations。
コンフォーマンスパックは、 AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含む YAML テンプレートを作成することにより作成します。テンプレートは、 AWS Config コンソールまたは AWS CLIを使用してデプロイできます。
すぐに開始して AWS 環境を評価するには、[サンプルコンフォーマンスパックテンプレート](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)のいずれかを使用します。[カスタムコンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)に基づいてコンフォーマンスパックの YAML ファイルをゼロから作成することもできます。カスタムコンフォーマンスパックは、アカウントと AWS リージョン、または の組織全体に一緒にデプロイできる AWS Config ルールと修復アクションの一意のコレクションです AWS Organizations。
**プロセスチェック**は、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できる AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。urations や手動チェックを含むすべてのコンプライアンスを 1 AWS Configか所で追跡できます。
## マルチアカウントマルチリージョンのデータ集約
のマルチアカウントマルチリージョンデータ集約 AWS Config を使用すると、複数のアカウントとリージョンの設定データとコンプライアンスデータを 1 つのアカウントに集約 AWS Config できます。マルチアカウントマルチリージョンデータ集約は、中央 IT 管理者がエンタープライズ AWS アカウント 内の複数の のコンプライアンスをモニタリングするのに役立ちます。アグリゲータを使用しても、追加コストは発生しません。
### ソースアカウント
ソースアカウントは、 AWS Config リソース設定とコンプライアンスデータを集約する AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizationsの組織を指定できます。ソースアカウントは個別に提供することも、取得することもできます AWS Organizations。
### 送信元リージョン
ソースリージョンは、 AWS Config 設定データとコンプライアンスデータを集約する AWS リージョンです。
### アグリゲータ
アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定とコンプライアンスデータを収集します。集約された AWS Config 設定とコンプライアンスデータを表示するリージョンにアグリゲータを作成します。
**注記**
アグリゲータでは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることにより、アグリゲータが閲覧を許可されているソースアカウントとリージョンに対して、*読み取り専用ビュー*を提供します。アグリゲータでは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを使用してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりできないということを意味します。
### サービスにリンクされたアグリゲータ
サービスにリンクされたアグリゲータは、特定の にリンクされます AWS のサービス。範囲内の設定データとコンプライアンスデータは、リンクされたサービスによって設定されます。
### アグリゲータアカウント
アグリゲータアカウントは、アグリゲータを作成するアカウントです。
### Authorization
ソースアカウントの所有者として、認可とは、 AWS Config 設定とコンプライアンスデータを収集するためにアグリゲータアカウントとリージョンに付与するアクセス許可を指します。 AWS Organizationsの一部であるソースアカウントを集約する場合、承認は必要ありません。