翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コンソールによる AWS Config の設定
AWS マネジメントコンソール では、AWS Config のセットアップを迅速かつ効率的に行えます。
## 設定
**コンソールで AWS Config を設定するには**
1. AWS マネジメントコンソール にサインインして、AWS Config コンソール ([https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)) を開きます。
1. AWS Config コンソールを初めて開く場合や新しいリージョンで AWS Config を設定する場合、AWS Config コンソールページは次のように表示されます。
![\[AWS Config コンソールページのイメージは、AWS Config サービスの概要を示し、AWS リソースの設定変更の記録と評価におけるそのロールを強調しています。\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/images/welcome.png)
1. **[1-click setup]** (1-click セットアップ) を選択して、AWS ベストプラクティスに基づいて AWS Config を起動します。また、「**使用開始**」を選択して、より詳細なセットアッププロセスに進むこともできます。
**Topics**
+ [設定](#gs-console-setting-up.title)
+ [ワンクリックセットアップ](1-click-setup.md)
+ [手動セットアップ](manual-setup.title.md)
# のワンクリックセットアップ AWS Config
AWS Config **ワンクリック設定**は、手動選択の数を減らすことで、 AWS Config コンソールのお客様の開始プロセスを簡素化するのに役立ちます。セットアッププロセスのすべての手動選択を確認するには、「[「手動セットアップ](https://docs.aws.amazon.com/config/latest/developerguide/detailed-setup.html)」を参照してください。
**ワンクリック設定を使用してコンソール AWS Config で を設定するには ******
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. **[1-click setup]** (ワンクリックセットアップ) を選択します。
セットアップページには 3 つのステップが含まれていますが、**[1-click setup]** (ワンクリックセットアップ) ワークフローでは、自動的にステップ 3 (レビュー) に誘導されます。次に、その手順の内訳を示します。
+ **設定**: AWS Config コンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。
+ **ルール**: サポート AWS リージョン AWS Config ルールでは、このステップを使用して、アカウントに追加できる初期管理ルールを設定できます。設定後、 AWS Config は選択したルールに照らして AWS リソースを評価します。追加のルールの作成や、既存のルールの更新は、設定後にアカウントで行うことができます。
+ **確認**: 設定の詳細を確認します。
## ステップ 1: 設定
### 記録方法
**カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプ**を記録するオプションが選択されます。 AWS Config は、このリージョンで現在および将来サポートされているすべてのリソースタイプを記録します。詳細については、[[サポートされるリソースタイプ]](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) を参照してください。
+ **デフォルト設定**
デフォルトの記録頻度は **[連続]** に設定されています。つまり、 は、変更が発生するたびに設定の変更を継続的に AWS Config 記録します。
AWS Config は、記録頻度を**日**次に設定するオプションもサポートしています。設定した後、このオプションを選択した場合、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
+ **オーバーライド設定 - *オプション***
設定した後、オプションで特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりできます。デフォルト設定を上書きするには、 AWS Config コンソールの左側のナビゲーションで**設定**を選択し、**編集**を選択します。
#### リソースを記録する際の考慮事項
** AWS Config 評価の数が多い**
AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するように選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。
一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、 AWS Config のアクティビティが増加する可能性があります。一時的なワークロード**とは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するよう設定レコーダーを設定するか、または AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。
**グローバルリソースタイプ \$1 Aurora グローバルクラスターは、最初は記録に含められます**
`AWS::RDS::GlobalCluster` リソースタイプは、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されます。
有効なすべてのリージョンで `AWS::RDS::GlobalCluster` を記録しない場合、設定後にこのリソースタイプを記録から除外できます。左のナビゲーションバーで、**[設定]** を選択し、**[編集]** を選択します。**[編集]** から、**[記録方法]** セクションの **[オーバーライド設定]** を選択し、`AWS::RDS::GlobalCluster` を選択してから、[記録から除外] のオーバーライドを選択します。
**グローバルリソースタイプ \$1 IAM リソースタイプは、最初は記録から除外されます。**
コスト削減のため、「グローバルに記録されたすべての IAM リソースタイプ」は、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。**[削除]** を選択してオーバーライドを削除し、これらのリソースを記録に含めます。
さらに、グローバル IAM リソースタイプ (`AWS::IAM::User`、`AWS::IAM::Group`、`AWS::IAM::Role`、および `AWS::IAM::Policy`) は、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。これらのリージョンのリストについては、[AWS 「リソースの記録 \$1 グローバルリソース](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
### データガバナンス
このセクションでは、7 年間 (2557 日) データを保持するデフォルトの AWS Config データ保持期間が選択されています。
**既存の AWS Config サービスにリンクされたロールを使用する**オプションが選択され、 が**AWS Config ロール**に設定されます。サービスにリンクされたロールは によって事前定義 AWS Config されており、サービスが他の サービスを呼び出すために必要なすべてのアクセス許可が含まれています AWS 。
### 配信方法
このセクションでは、**アカウントからバケットを選択する**オプションが選択されています。この選択は、デフォルトで `config-bucket-accountid` 形式で名前が付けられたアカウントのバケットとなります。例えば、`config-bucket-012345678901`。その形式でバケットを作成していない場合は、自動的に作成されます。独自のバケットを作成する場合、「Amazon Simple Storage Service ユーザーガイド**」の「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
S3 バケットの詳細については、「Amazon Simple Storage Service ユーザーガイド**」の「[バケットの概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)」を参照してください。
## ステップ 2: ルール
**AWS マネージド型ルール**については、このステップではルールは選択されていません。アカウントの設定が完了した後にルールを作成および更新することをお勧めします。
## ステップ 3: 確認
AWS Config セットアップの詳細を確認します。戻って各セクションの変更を編集できます。**確認**を選択して設定を完了します AWS Config。
# の手動セットアップ AWS Config
**開始方法**ワークフローでは、セットアッププロセスのすべての手動選択を確認して、 AWS Config コンソールの使用を開始できます。簡単な開始プロセスについては、「[ワンクリックセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/1-click-setup.html)」を参照してください。
****開始**方法を使用して コンソール AWS Config で を設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. **[開始する]** を選択します。
セットアップページには 3 つのステップがあります。以下に、**[Get started]** (使用開始) を選択した後の手順の内訳を示します。
+ **設定**: AWS Config コンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。
+ **ルール**: サポート AWS リージョン AWS Config ルールの場合、このステップを使用して、アカウントに追加できる初期管理ルールを設定できます。設定後、 AWS Config は選択したルールに照らして AWS リソースを評価します。追加のルールを作成したり、既存のルールを更新したり、設定後にアカウントで更新できます。
+ **確認**: 設定の詳細を確認します。
## ステップ 1: 設定
### 記録方法
**[記録方法]** セクションで、記録方法を選択します。 AWS Config 記録する AWS リソースを指定できます。
------
#### [ All resource types with customizable overrides ]
このリージョンで現在および将来サポートされているすべてのリソースタイプの設定変更を記録する AWS Config ように を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[[サポートされるリソースタイプ]](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) を参照してください。
+ **デフォルト設定**
現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
+ 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録 AWS Config します。
+ 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
+ **上書き設定**
特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。
------
#### [ Specific resource types ]
指定したリソースタイプのみの設定変更を記録する AWS Config ように を設定します。
+ **特定のリソースタイプ**
記録するリソースタイプとその頻度を選択します。詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
+ 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録 AWS Config します。
+ 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。
------
#### リソースを記録する際の考慮事項
** AWS Config 評価の数が多い**
AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するために選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。
一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、 AWS Config のアクティビティが増加する可能性があります。一時的なワークロード**とは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するよう設定レコーダーを設定するか、または AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。
------
#### [ Considerations: All resource types with customizable overrides ]
**グローバルに記録するリソースタイプ \$1 Aurora グローバルクラスターは、最初は記録に含められます**
`AWS::RDS::GlobalCluster` リソースタイプは、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されます。
すべての有効なリージョンで `AWS::RDS::GlobalCluster` を記録しない場合、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。
**グローバルリソースタイプ \$1 IAM リソースタイプは、最初は記録から除外されます。**
コスト削減のため、グローバル IAM リソースタイプは、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。**[削除]** を選択してオーバーライドを削除し、これらのリソースを記録に含めます。
さらに、グローバル IAM リソースタイプ (`AWS::IAM::User`、`AWS::IAM::Group`、`AWS::IAM::Role`、および `AWS::IAM::Policy`) は、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、[AWS 「リソースの記録 \$1 グローバルリソース](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
**制限**
最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。
次のリソースタイプに日次記録を指定することはできません。
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
#### [ Considerations: Specific resource types ]
**利用可能なリージョン**
が追跡 AWS Config するリソースタイプを指定する前に、[Resource Coverage by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) をチェックして、リソースタイプがセットアップした AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
**制限**
すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。
次のリソースタイプに日次頻度はサポートされていません。
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
### データガバナンス
+ **データ保持期間**では、デフォルトの保持期間を選択して AWS Config データを 7 年間 (2557) 保持するか、 によって記録された項目のカスタム保持期間を設定します AWS Config。
AWS Config では、 の保持期間を指定してデータを削除できます`ConfigurationItems`。保持期間を指定すると、 AWS Config は `ConfigurationItems` を指定された期間保持します。最小 30 日から最大 7 年 (2557 日) の期間を選択できます。 は、指定した保持期間より古いデータ AWS Config を削除します。
+ **の IAM ロール AWS Config**では、アカウントから既存の AWS Config サービスにリンクされたロールまたは IAM ロールを選択します。
+ サービスにリンクされたロールは によって事前定義 AWS Config されており、サービスが他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
**注記**
**推奨: サービスにリンクされたロールを使用する**
サービスにリンクされたロールを使用することをお勧めします。サービスにリンクされたロールは、 AWS Config が予想どおりに実行するのに必要なすべてのアクセス許可を追加します。
+ それ以外の場合は、既存のロールとアクセス許可ポリシーの 1 つから IAM ロールを選択します。
**注記**
**ポリシーとコンプライアンスの結果**
で管理される [IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)やその他のポリシーは、 AWS Config がリソースの設定変更を記録するアクセス許可を持っているかどうかに影響を与える可能性があります。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)また、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図する AWS Configの使用方法と合致していることを確認してください。
**IAM ロール再利用時に最小限のアクティビティ許可を維持する**
や AWS Configなどの AWS Security Hub CSPM を使用する AWS サービスを使用し AWS Control Tower、IAM ロールがすでに作成されている場合は、セットアップ AWS Config 時に使用する IAM ロールが既存の IAM ロールと同じ最小限のアクセス許可を保持していることを確認してください。これを実行して、他の AWS サービスが期待どおりに実行されるようにする必要があります。
たとえば、 に S3 オブジェクト AWS Config の読み取りを許可する IAM ロール AWS Control Tower がある場合、セットアップ時に使用する IAM ロールに同じアクセス許可が付与されていることを確認してください AWS Config。そうしないと、 AWS Control Tower の動作に支障をきたす可能性があります。
### 配信方法
+ **[Delivery method]** (配信方法) では、 AWS Config から設定履歴と設定スナップショットのファイルを送信する先の S3 バケットを選択します。
+ **[Create a bucket]** (バケットの作成) — **[S3 bucket name]** (S3 バケット名) に S3 バケットの名前を入力します。
Amazon S3 の既存のバケット名と重複しないように一意の名前を入力する必要があります。一意の名前にする 1 つの方法としては、組織の名前などをプレフィックスとして含めます。バケット名を作成後に変更することはできません。詳細については、「Amazon Simple Storage Service ユーザーガイド**」の「[バケットの制約と制限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)」を参照してください。
+ **[Choose a bucket from your account]** (アカウントからバケットを選択) – **[S3 bucket name]** (S3 バケット名) で目的のバケットを選択します。
+ **[Choose a bucket from another account]** (別のアカウントからバケットを選択) — **[S3 bucket name]** (S3 バケット名) にバケット名を入力します。
**注記**
**バケットのアクセス許可**
別のアカウントからバケットを選択する場合、そのバケットにはアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「[AWS Config 配信チャネルの Amazon S3 バケットのアクセス許可](s3-bucket-policy.md)」を参照してください。
+ **Amazon SNS トピック**で、**設定変更と通知を Amazon SNS トピックにストリーム**して、設定履歴配信、設定スナップショット配信、コンプライアンスなどの通知 AWS Config を送信するようにします。
+ Amazon SNS AWS Config トピックにストリーミングすることを選択した場合は、ターゲットトピックを選択します。
+ **[Create a topic]** (トピックの作成) — **[Topic Name]** (トピック名) に SNS トピックの名前を入力します。
+ **[Choose a topic from your account]** (アカウントからトピックを選択) — **[Topic Name]** (トピック名) で目的のトピックを選択します。
+ **[Choose a topic from another account]** (別のアカウントからトピックを選択) – **[Topic ARN]** (トピック ARN) にトピックの Amazon リソースネーム (ARN) を入力します。別のアカウントからトピックを選択する場合、そのトピックにはアクセス許可を付与するポリシーが必要です AWS Config。詳細については、「[Amazon SNS トピックへのアクセス許可](sns-topic-policy.md)」を参照してください。
**注記**
**Amazon SNS トピックのリージョン**
Amazon SNS トピックは、設定したリージョンと同じリージョンに存在する必要があります AWS Config。
## ステップ 2: ルール
ルールをサポートするリージョン AWS Config で を設定する場合は、**次へ** を選択します。
## ステップ 3: 確認
AWS Config セットアップの詳細を確認します。戻って各セクションの変更を編集できます。**確認** を選択してセットアップを完了します AWS Config。
## 詳細情報
アカウント内の既存のリソースの検索とリソースの設定の理解については、「[Looking up Resources](https://docs.aws.amazon.com/config/latest/developerguide/looking-up-discovered-resources.html)」、「[Viewing Compliance Informance](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)」、「[Viewing Compliance Informance](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)」を参照してください。
Amazon Simple Queue Service を使用して、プログラムで AWS リソースをモニタリングすることもできます。詳細については、「[Amazon SQS による AWS リソース変更のモニタリング](monitor-resource-changes.md)」を参照してください。