AWS Config から開始する AWS CLI - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config から開始する AWS CLI

AWS Config で開始するには AWS CLI、次のように put-configuration-recorderput-delivery-channel、、および start-configuration-recorder コマンドを使用します。

  • put-configuration-recorder コマンドを使用すると、指定したリソース設定を記録する新しい設定レコーダーを作成できます。

  • put-delivery-channel コマンドは、S3 バケットとSNSトピックに設定情報を配信する配信チャネルオブジェクトを作成します。

  • 配信チャネルが作成されると、start-configuration-recorder は選択されたリソース設定の記録を開始します。これは、お客様の  AWS  アカウントで参照できます。

レコーダーの名前と、設定レコーダーが引き受け AWS Config 、使用するIAMロールの Amazon リソースネーム (ARN) を指定できます。 は、設定レコーダーの作成時に「デフォルト」の名前 AWS Config を自動的に割り当てます。設定レコーダーの名前は、作成後に変更することはできません。設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、新しい名前で設定レコーダーを作成し直す必要があります。

で AWS Config マルチアカウントマルチリージョンデータ集約をセットアップするには AWS CLI、AWS 「 コマンドラインインターフェイス を使用したアグリゲータのセットアップ」を参照してください。設定項目 AWS アカウント を記録するリージョンごとに個別の設定レコーダーを作成する必要があります。

考慮事項

前提条件

AWS Config で を設定する前に AWS CLI、S3 バケット、SNSトピック、およびポリシーがアタッチされたIAMロールを前提条件として作成する必要があります。その後、 を使用して AWS CLI 、 のバケット、トピック、ロールを指定できます AWS Config。の前提条件を設定するには AWS Config、「前提条件」を参照してください。

アカウントごとにリージョンごとに 1 つの設定レコーダー

1 つの AWS リージョン につき 1 つの設定レコーダーチャネルしか持つことができず AWS アカウント、 を使用するには設定レコーダーが必要です AWS Config。

リージョンごとにアカウントごとに 1 つの配信チャネル

リージョンごとに AWS リージョン 1 つの配信チャネルしか持つことができず AWS アカウント、 を使用するには配信チャネルが必要です AWS Config。

ステップ 1: コマンドを実行する put-configuration-recorder

put-configuration-recorder コマンドは、以下の例のようになります。

$ aws configservice put-configuration-recorder \ --configuration-recorder file://configurationRecorder.json \ --recording-group file://recordingGroup.json

このコマンドは、 フィールド--configuration-recorder---recording-groupフィールドを使用します。

注記

録画グループと設定レコーダー

--recording-group フィールドは、記録するリソースタイプを指定します。

--configuration-recorder フィールドは、 name と 、roleArnおよび設定レコーダーのデフォルトの記録頻度 () を指定しますrecordingMode。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。

put-configuration-recorder は、--recording-group パラメータに次のオプションを使用します。

  • allSupported=true – グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更 AWS Config を記録します。が新しいリソースタイプのサポート AWS Config を追加すると、 はそのタイプのリソースの記録 AWS Config を自動的に開始します。

  • includeGlobalResourceTypes=true – このオプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルIAMリソースタイプにのみ適用されます。これらのグローバルIAMリソースタイプは、2022 年 2 月より前に利用可能 AWS Config になったリージョンでのみ、 AWS Config によって記録できます。2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは、グローバルIAMリソースタイプを記録することはできません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

    重要

    Aurora グローバルクラスターは有効なすべてのリージョンで記録されます

    AWS::RDS::GlobalCluster リソースタイプは、 includeGlobalResourceTypesが に設定されている場合でも、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されますfalseincludeGlobalResourceTypes オプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーのみに適用されるバンドルです。

    有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合は、以下のいずれかの記録方法を使用します。

    1. [除外を伴う、現在および将来のすべてのリソースタイプを記録する] (EXCLUSION_BY_RESOURCE_TYPES)、または

    2. [特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES)。

    詳細については、「記録対象のリソースの選択」を参照してください。

    重要

    includeGlobalResourceタイプと除外記録戦略

    includeGlobalResourceTypes フィールドはEXCLUSION_BY_RESOURCE_TYPES記録戦略には影響しません。つまり、 exclusionByResourceTypesincludeGlobalResourceTypesが に設定されている場合、グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマー管理ポリシー) は除外として自動的に追加されませんfalse

    includeGlobalResourceTypes フィールドのデフォルトは、グローバルリソースタイプを除くサポートされているすべてのIAMリソースタイプの設定変更を記録するため、AllSupportedフィールドはAllSupportedフィールドの変更にのみ使用する必要があります。が AllSupportedに設定されているときにグローバルIAMリソースタイプを含めるにはtrue、必ず includeGlobalResourceTypesを に設定してくださいtrue

    EXCLUSION_BY_RESOURCE_TYPES 記録戦略のグローバルIAMリソースタイプを除外するには、 の resourceTypesフィールドにリソースタイプを手動で追加する必要がありますexclusionByResourceTypes

    注記

    必須フィールドとオプションフィールド

    includeGlobalResourceTypestrue に設定する前に、allSupported フィールドを true に設定します。

    オプションで、RecordingStrategyuseOnly フィールドを ALL_SUPPORTED_RESOURCE_TYPES に設定することもできます。

    注記

    フィールドを無効にする

    includeGlobalResourceTypesに設定しfalse、 の resourceTypesフィールドにグローバルIAMリソースタイプを一覧表示してもRecordingGroup、 AWS Config はincludeGlobalResourceTypes、フィールドを false に設定しても指定されたリソースタイプの設定変更を記録します。

    グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマーマネージドポリシー) の設定変更を記録しない場合は、resourceTypesフィールドを false に設定することに加えて、 includeGlobalResourceTypesフィールドにそれらの変更を一覧表示しないように注意してください。

  • recordingStrategy — 設定レコーダーの記録方法を指定します。recordingGroup.json ファイルは、 AWS Config で記録するリソースのタイプを指定します。

    • useOnly フィールドを に設定するとRecordingStrategyALL_SUPPORTED_RESOURCE_TYPES、 AWS Config は、グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更を記録します。必要に応じて、 の allSupported フィールドを RecordingGroup に設定することもできますtrue。が新しいリソースタイプのサポート AWS Config を追加すると、 AWS Config はそのタイプのリソースの記録を自動的に開始します。

    • useOnlyフィールドを に設定するとRecordingStrategyINCLUSION_BY_RESOURCE_TYPES、 の resourceTypes フィールドで指定したリソースタイプのみの設定が変更され AWS Config ますRecordingGroup

    • useOnly フィールドを に設定するとRecordingStrategyEXCLUSION_BY_RESOURCE_TYPES、 は、 AWS Config の resourceTypesフィールドに記録されないように指定するリソースタイプを除く、サポートされているすべてのリソースタイプの設定変更を記録しますExclusionByResourceTypes

    注記

    必須フィールドとオプションフィールド

    --recording-group の [allSupported] フィールドを true に設定した場合、この [recordingStrategy] フィールドはオプションです。

    --recording-group の [resourceTypes] フィールドにリソースタイプを含める場合、[recordingStrategy] フィールドはオプションです。

    exclusionByResourceTypes の [resourceTypes] フィールドに記録から除外するリソースタイプを含める場合、[recordingStrategy] フィールドは必須です。

    注記

    フィールドを無効にする

    記録方法に EXCLUSION_BY_RESOURCE_TYPES を選択した場合、[exclusionByResourceTypes] フィールドはリクエスト内の他のプロパティよりも優先されます。

    例えば、 を false includeGlobalResourceTypesに設定しても、グローバルIAMリソースタイプは、 の resourceTypesフィールドに免除として具体的にリストされていない限り、このオプションに自動的に記録されますexclusionByResourceTypes

    注記

    グローバルリソースタイプおよびリソースの除外の記録方法

    デフォルトでは、EXCLUSION_BY_RESOURCE_TYPES記録戦略を選択した場合、 がグローバルリソースタイプを含む設定レコーダーをセットアップしたリージョンで新しいリソースタイプのサポート AWS Config を追加すると、そのタイプのリソースの記録が自動的に AWS Config 開始されます。

    除外として具体的に記載されていない限り、 は、設定レコーダーが有効になっている場合、サポートされているすべての AWS Config リージョンに自動的に記録AWS::RDS::GlobalClusterされます。

    IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーは、2022 年 2 月より前に利用可能 AWS Config であったリージョンである場合、設定レコーダーをセットアップしたリージョンに記録されます。2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは、グローバルIAMリソースタイプを記録することはできません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

    次に recordingGroup.json に対するリクエストの構文例を示します。

    { "allSupported": boolean, "exclusionByResourceTypes": { "resourceTypes": [ Comma-separated list of resource types to exclude ] }, "includeGlobalResourceTypes": boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [ Comma-separated list of resource types to include] }
    注記

    AWS Organizations Can Prevent Acceses の承認ポリシー

    既存のIAMロールを使用する場合は、 AWS Organizations がリソースを記録するアクセス許可を AWS Config に付与できないようにするための承認ポリシーがないことを確認してください。の承認ポリシーの詳細については AWS Organizations、 AWS Organizations ユーザーガイド「 でのポリシーの管理 AWS Organizations」を参照してください。

    IAMロールを再利用するときの最小許容数を維持する

    AWS Security Hub や AWS Configなどの を使用する AWS サービスを使用し AWS Control Tower、IAMロールがすでに作成されている場合は、セットアップ時に使用するIAMロールが既存のIAMロールと同じ最小アクセス許可 AWS Config を保持していることを確認してください。他の AWS サービスが期待どおりに実行されるようにするには、これを行う必要があります。

    例えば、 AWS Control Tower に S3 オブジェクト AWS Config の読み取りを許可するIAMロールがある場合は、 の設定時に使用するIAMロールに同じアクセス許可が付与されていることを確認してください AWS Config。そうしないと、 AWS Control Tower の動作が妨げられる可能性があります。

    注記

    AWS Config 評価の数が多い

    AWS Config での最初の月の記録中に、その後の月と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、記録 AWS Config するために選択したアカウント内のすべてのリソースの評価 AWS Config を実行します。

    一時的なワークロードを実行している場合は、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増えることがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を回避するには、これらのリソースタイプが記録されないように設定レコーダーを設定するか、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行して、設定記録とルール評価の増加を回避できます。

    注記

    利用可能なリージョン

    追跡 AWS Config する のリソースタイプを指定する前に、Resource Coverage by Region Availability をチェックして、リソースタイプが を設定する AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合、 をセットアップしているリージョンで指定されたリソースタイプがサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

put-configuration-recorder コマンドは、--configuration-recorder パラメータで次のフィールドを使用します。

  • name – 設定レコーダーの名前。設定レコーダーの作成時に、「デフォルト」の名前 AWS Config を自動的に割り当てます。

  • roleARN – 設定レコーダーによって引き受け AWS Config られ、使用されるIAMロールの Amazon リソースネーム (ARN)。

  • recordingMode – 設定変更を記録するために AWS Config が使用するデフォルトの記録頻度を指定します。 は継続的記録毎日の記録 AWS Config をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。

    • recordingFrequency – 設定の変更を記録するために が AWS Config 使用するデフォルトの記録頻度。

      注記

      AWS Firewall Manager は、リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

    • recordingModeOverrides – このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride オブジェクトの配列です。recordingModeOverrides 配列の各 recordingModeOverride オブジェクトは、次の 3 つのフィールドで構成されます。

      • description - オーバーライドに入力した説明。

      • recordingFrequency - オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。

      • resourceTypes – オーバーライド AWS Config に含めるリソースタイプを指定するカンマ区切りのリスト。

注記

必須フィールドとオプションフィールド

put-configuration-recorderrecordingMode フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。

注記

制限

次のリソースタイプに日次記録はサポートされていません。

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。

configurationRecorder.json ファイルは、設定レコーダー () のデフォルトの記録頻度roleArnに加えてname、 と を指定しますrecordingMode。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。

{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency": CONTINUOUS or DAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency": CONTINUOUS or DAILY, "resourceTypes": [ Comma-separated list of resource types to include in the override ] } ] } }

ステップ 2: コマンドを実行する put-delivery-channel

以下のコード例は、PutDeliveryChannel の使用方法を示しています。

CLI
AWS CLI

配信チャネルを作成するには

次のコマンドは、配信チャネルの設定をJSONコードとして提供します。

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json ファイルは配信チャネル属性を指定します。

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

この例では以下の属性を設定します。

name - 配信チャネルの名前。デフォルトでは、 AWS Config は新しい配信チャネルdefaultに名前を割り当てます。 put-delivery-channel コマンドを使用して配信チャネル名を更新することはできません。名前を変更する手順については、「配信チャネルの名前変更」を参照してください。s3BucketName- AWS Config が設定スナップショットと設定履歴ファイルを配信する Amazon S3 バケットの名前。別の AWS アカウントに属するバケットを指定する場合、そのバケットには AWS Config へのアクセス許可を付与するポリシーが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。

snsTopicARN - AWS Config が設定変更に関する通知を送信する Amazon SNSトピックの Amazon リソースネーム (ARN)。別のアカウントからトピックを選択した場合、トピックには AWS Config へのアクセス許可を付与するポリシーが必要です。詳細については、「Amazon SNSトピックのアクセス許可」を参照してください。

configSnapshotDeliveryProperties - AWS Config が設定スナップショットを配信する頻度と、定期的な Config ルールの評価を呼び出す頻度を設定する deliveryFrequency 属性が含まれます。

コマンドが成功すると、 AWS Config は出力を返しません。配信チャネルの設定を確認するには、 コマンドを実行します describe-delivery-channels。

  • API 詳細については、AWS CLI 「 コマンドリファレンスPutDeliveryChannel」の「」を参照してください。

PowerShell
のツール PowerShell

例 1: この例では、既存の配信チャネルの deliveryFrequency プロパティを変更します。

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
  • API 詳細については、「 コマンドレットリファレンスPutDeliveryChannel」の「」を参照してください。 AWS Tools for PowerShell

ステップ 3: コマンドを実行する start-configuration-recorder

の有効化を完了するには AWS Config、 start-configuration-recorder コマンドを使用します。

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName