翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config から開始する AWS CLI
AWS Config で開始するには AWS CLI、次のように put-configuration-recorderput-delivery-channel、、および start-configuration-recorder コマンドを使用します。
put-configuration-recorder
コマンドを使用すると、指定したリソース設定を記録する新しい設定レコーダーを作成できます。put-delivery-channel
コマンドは、S3 バケットとSNSトピックに設定情報を配信する配信チャネルオブジェクトを作成します。配信チャネルが作成されると、
start-configuration-recorder
は選択されたリソース設定の記録を開始します。これは、お客様の AWS アカウントで参照できます。
レコーダーの名前と、設定レコーダーが引き受け AWS Config 、使用するIAMロールの Amazon リソースネーム (ARN) を指定できます。 は、設定レコーダーの作成時に「デフォルト」の名前 AWS Config を自動的に割り当てます。設定レコーダーの名前は、作成後に変更することはできません。設定レコーダーの名前を変更するには、まず設定レコーダーを削除して、新しい名前で設定レコーダーを作成し直す必要があります。
で AWS Config マルチアカウントマルチリージョンデータ集約をセットアップするには AWS CLI、AWS 「 コマンドラインインターフェイス を使用したアグリゲータのセットアップ」を参照してください。設定項目 AWS アカウント を記録するリージョンごとに個別の設定レコーダーを作成する必要があります。
トピック
考慮事項
前提条件
AWS Config で を設定する前に AWS CLI、S3 バケット、SNSトピック、およびポリシーがアタッチされたIAMロールを前提条件として作成する必要があります。その後、 を使用して AWS CLI 、 のバケット、トピック、ロールを指定できます AWS Config。の前提条件を設定するには AWS Config、「前提条件」を参照してください。
アカウントごとにリージョンごとに 1 つの設定レコーダー
1 つの AWS リージョン につき 1 つの設定レコーダーチャネルしか持つことができず AWS アカウント、 を使用するには設定レコーダーが必要です AWS Config。
リージョンごとにアカウントごとに 1 つの配信チャネル
リージョンごとに AWS リージョン 1 つの配信チャネルしか持つことができず AWS アカウント、 を使用するには配信チャネルが必要です AWS Config。
ステップ 1: コマンドを実行する put-configuration-recorder
put-configuration-recorder
コマンドは、以下の例のようになります。
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
このコマンドは、 フィールド--configuration-recorder
と ---recording-group
フィールドを使用します。
注記
録画グループと設定レコーダー
--recording-group
フィールドは、記録するリソースタイプを指定します。
--configuration-recorder
フィールドは、 name
と 、roleArn
および設定レコーダーのデフォルトの記録頻度 () を指定しますrecordingMode
。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
put-configuration-recorder
は、--recording-group
パラメータに次のオプションを使用します。
-
allSupported=true
– グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更 AWS Config を記録します。が新しいリソースタイプのサポート AWS Config を追加すると、 はそのタイプのリソースの記録 AWS Config を自動的に開始します。 -
includeGlobalResourceTypes=true
– このオプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルIAMリソースタイプにのみ適用されます。これらのグローバルIAMリソースタイプは、2022 年 2 月より前に利用可能 AWS Config になったリージョンでのみ、 AWS Config によって記録できます。2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは、グローバルIAMリソースタイプを記録することはできません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。重要
Aurora グローバルクラスターは有効なすべてのリージョンで記録されます
AWS::RDS::GlobalCluster
リソースタイプは、includeGlobalResourceTypes
が に設定されている場合でも、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されますfalse
。includeGlobalResourceTypes
オプションは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーのみに適用されるバンドルです。有効なすべてのリージョンで
AWS::RDS::GlobalCluster
を記録しない場合は、以下のいずれかの記録方法を使用します。[除外を伴う、現在および将来のすべてのリソースタイプを記録する] (
EXCLUSION_BY_RESOURCE_TYPES
)、または[特定のリソースタイプを記録する] (
INCLUSION_BY_RESOURCE_TYPES
)。
詳細については、「記録対象のリソースの選択」を参照してください。
重要
includeGlobalResourceタイプと除外記録戦略
includeGlobalResourceTypes
フィールドはEXCLUSION_BY_RESOURCE_TYPES
記録戦略には影響しません。つまり、exclusionByResourceTypes
includeGlobalResourceTypes
が に設定されている場合、グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマー管理ポリシー) は除外として自動的に追加されませんfalse
。includeGlobalResourceTypes
フィールドのデフォルトは、グローバルリソースタイプを除くサポートされているすべてのIAMリソースタイプの設定変更を記録するため、AllSupported
フィールドはAllSupported
フィールドの変更にのみ使用する必要があります。がAllSupported
に設定されているときにグローバルIAMリソースタイプを含めるにはtrue
、必ずincludeGlobalResourceTypes
を に設定してくださいtrue
。EXCLUSION_BY_RESOURCE_TYPES
記録戦略のグローバルIAMリソースタイプを除外するには、 のresourceTypes
フィールドにリソースタイプを手動で追加する必要がありますexclusionByResourceTypes
。注記
必須フィールドとオプションフィールド
includeGlobalResourceTypes
をtrue
に設定する前に、allSupported
フィールドをtrue
に設定します。オプションで、
RecordingStrategy
のuseOnly
フィールドをALL_SUPPORTED_RESOURCE_TYPES
に設定することもできます。注記
フィールドを無効にする
を
includeGlobalResourceTypes
に設定しfalse
、 のresourceTypes
フィールドにグローバルIAMリソースタイプを一覧表示してもRecordingGroup、 AWS Config はincludeGlobalResourceTypes
、フィールドを false に設定しても、指定されたリソースタイプの設定変更を記録します。グローバルIAMリソースタイプ (IAMユーザー、グループ、ロール、カスタマーマネージドポリシー) の設定変更を記録しない場合は、
resourceTypes
フィールドを false に設定することに加えて、includeGlobalResourceTypes
フィールドにそれらの変更を一覧表示しないように注意してください。 -
recordingStrategy
— 設定レコーダーの記録方法を指定します。recordingGroup.json
ファイルは、 AWS Config で記録するリソースのタイプを指定します。-
の
useOnly
フィールドを に設定するとRecordingStrategyALL_SUPPORTED_RESOURCE_TYPES
、 AWS Config は、グローバルリソースタイプを除く、サポートされているすべてのIAMリソースタイプの設定変更を記録します。必要に応じて、 のallSupported
フィールドを RecordingGroup に設定することもできますtrue
。が新しいリソースタイプのサポート AWS Config を追加すると、 AWS Config はそのタイプのリソースの記録を自動的に開始します。 -
の
useOnly
フィールドを に設定するとRecordingStrategyINCLUSION_BY_RESOURCE_TYPES
、 のresourceTypes
フィールドで指定したリソースタイプのみの設定が変更され AWS Config ますRecordingGroup。 の
useOnly
フィールドを に設定するとRecordingStrategyEXCLUSION_BY_RESOURCE_TYPES
、 は、 AWS Config のresourceTypes
フィールドに記録されないように指定するリソースタイプを除く、サポートされているすべてのリソースタイプの設定変更を記録しますExclusionByResourceTypes。
注記
必須フィールドとオプションフィールド
--recording-group
の [allSupported
] フィールドをtrue
に設定した場合、この [recordingStrategy
] フィールドはオプションです。--recording-group
の [resourceTypes
] フィールドにリソースタイプを含める場合、[recordingStrategy
] フィールドはオプションです。exclusionByResourceTypes
の [resourceTypes
] フィールドに記録から除外するリソースタイプを含める場合、[recordingStrategy
] フィールドは必須です。注記
フィールドを無効にする
記録方法に
EXCLUSION_BY_RESOURCE_TYPES
を選択した場合、[exclusionByResourceTypes
] フィールドはリクエスト内の他のプロパティよりも優先されます。例えば、 を false
includeGlobalResourceTypes
に設定しても、グローバルIAMリソースタイプは、 のresourceTypes
フィールドに免除として具体的にリストされていない限り、このオプションに自動的に記録されますexclusionByResourceTypes
。注記
グローバルリソースタイプおよびリソースの除外の記録方法
デフォルトでは、
EXCLUSION_BY_RESOURCE_TYPES
記録戦略を選択した場合、 がグローバルリソースタイプを含む設定レコーダーをセットアップしたリージョンで新しいリソースタイプのサポート AWS Config を追加すると、そのタイプのリソースの記録が自動的に AWS Config 開始されます。除外として具体的に記載されていない限り、 は、設定レコーダーが有効になっている場合、サポートされているすべての AWS Config リージョンに自動的に記録
AWS::RDS::GlobalCluster
されます。IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーは、2022 年 2 月より前に利用可能 AWS Config であったリージョンである場合、設定レコーダーをセットアップしたリージョンに記録されます。2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは、グローバルIAMリソースタイプを記録することはできません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。
次に
recordingGroup.json
に対するリクエストの構文例を示します。{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }注記
AWS Organizations Can Prevent Acceses の承認ポリシー
既存のIAMロールを使用する場合は、 AWS Organizations がリソースを記録するアクセス許可を AWS Config に付与できないようにするための承認ポリシーがないことを確認してください。の承認ポリシーの詳細については AWS Organizations、 AWS Organizations ユーザーガイドの「 でのポリシーの管理 AWS Organizations」を参照してください。
IAMロールを再利用するときの最小許容数を維持する
AWS Security Hub や AWS Configなどの を使用する AWS サービスを使用し AWS Control Tower、IAMロールがすでに作成されている場合は、セットアップ時に使用するIAMロールが既存のIAMロールと同じ最小アクセス許可 AWS Config を保持していることを確認してください。他の AWS サービスが期待どおりに実行されるようにするには、これを行う必要があります。
例えば、 AWS Control Tower に S3 オブジェクト AWS Config の読み取りを許可するIAMロールがある場合は、 の設定時に使用するIAMロールに同じアクセス許可が付与されていることを確認してください AWS Config。そうしないと、 AWS Control Tower の動作が妨げられる可能性があります。
注記
AWS Config 評価の数が多い
AWS Config での最初の月の記録中に、その後の月と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、記録 AWS Config するために選択したアカウント内のすべてのリソースの評価 AWS Config を実行します。
一時的なワークロードを実行している場合は、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増えることがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を回避するには、これらのリソースタイプが記録されないように設定レコーダーを設定するか、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行して、設定記録とルール評価の増加を回避できます。
注記
利用可能なリージョン
追跡 AWS Config する のリソースタイプを指定する前に、Resource Coverage by Region Availability をチェックして、リソースタイプが を設定する AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合、 をセットアップしているリージョンで指定されたリソースタイプがサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
-
put-configuration-recorder
コマンドは、--configuration-recorder
パラメータで次のフィールドを使用します。
name
– 設定レコーダーの名前。設定レコーダーの作成時に、「デフォルト」の名前 AWS Config を自動的に割り当てます。roleARN
– 設定レコーダーによって引き受け AWS Config られ、使用されるIAMロールの Amazon リソースネーム (ARN)。recordingMode
– 設定変更を記録するために AWS Config が使用するデフォルトの記録頻度を指定します。 は継続的記録と毎日の記録 AWS Config をサポートします。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。-
recordingFrequency
– 設定の変更を記録するために が AWS Config 使用するデフォルトの記録頻度。注記
AWS Firewall Manager は、リソースをモニタリングするための継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
-
recordingModeOverrides
– このフィールドで、記録モードのオーバーライドを指定できます。recordingModeOverride
オブジェクトの配列です。recordingModeOverrides
配列の各recordingModeOverride
オブジェクトは、次の 3 つのフィールドで構成されます。description
- オーバーライドに入力した説明。recordingFrequency
- オーバーライドで指定されたすべてのリソースタイプに適用される記録頻度。resourceTypes
– オーバーライド AWS Config に含めるリソースタイプを指定するカンマ区切りのリスト。
-
注記
必須フィールドとオプションフィールド
put-configuration-recorder
の recordingMode
フィールドはオプションです。デフォルトでは、設定レコーダーの記録頻度は継続的な記録に設定されています。
注記
制限
次のリソースタイプに日次記録はサポートされていません。
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
現在および将来サポートされるすべてのリソースタイプを記録する (ALL_SUPPORTED_RESOURCE_TYPES
) 記録方法について、これらのリソースタイプは継続的な記録に設定されます。
configurationRecorder.json
ファイルは、設定レコーダー () のデフォルトの記録頻度roleArn
に加えてname
、 と を指定しますrecordingMode
。このフィールドを使用して、特定のリソースタイプの記録頻度をオーバーライドすることもできます。
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
ステップ 2: コマンドを実行する put-delivery-channel
以下のコード例は、PutDeliveryChannel
の使用方法を示しています。
ステップ 3: コマンドを実行する start-configuration-recorder
の有効化を完了するには AWS Config、 start-configuration-recorder
コマンドを使用します。
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName