AWS Config の仕組み - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config の仕組み

AWS Config は、アカウント内の AWS リソースの設定の詳細ビューを提供します AWS 。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS リソースは、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、 で操作できるエンティティです。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいサポートされているリソースタイプ

この画像は、 AWS Config の仕組みの概要を示しています。さまざまな AWS リソースから への情報の流れを示し AWS Config、設定データを Amazon S3 バケットに保存します。このプロセスには、設定レコーダー、 AWS Config ルール、および配信チャネルが含まれます。目標は、 AWS 環境内のリソース設定を追跡および管理することです。

リソース検出

を有効にすると AWS Config、まずアカウントに存在するサポートされている AWS リソースを検出し、各リソースの設定項目を生成します。

AWS Config は、リソースの設定が変更されると設定項目も生成し、設定レコーダーを起動したときのリソースの設定項目の履歴レコードを保持します。デフォルトでは、 はリージョンでサポートされているすべてのリソースの設定項目 AWS Config を作成します。サポートされているすべてのリソースの設定項目 AWS Config を作成しない場合は、追跡するリソースタイプを指定できます。

追跡 AWS Config する のリソースタイプを指定する前に、リージョンの可用性別のリソースカバレッジをチェックして、 を設定する AWS リージョンでリソースタイプがサポートされていることを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合、指定したリソースタイプが を設定しているリージョンをサポートしていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

リソースの追跡

AWS Config は、アカウント内の各リソースの Describe API コールまたは List API コールを呼び出すことで、リソースに対するすべての変更を追跡します。このサービスでは、その同じ API コールを使用して、すべての関連リソースの設定詳細をキャプチャします。

例えば、VPC セキュリティグループから Egress ルールを削除すると AWS Config 、 はセキュリティグループで Describe API コールを呼び出します。 AWS Config 次に、 はセキュリティグループに関連付けられたすべてのインスタンスで Describe API コールを呼び出します。セキュリティグループ (リソース) と各インスタンス (関連リソース) の更新された設定が設定項目として記録され、設定のストリーミングで Amazon Simple Storage Service (Amazon S3) バケットに配信されます。

AWS Config は、API によって開始されなかった設定変更も追跡します。 AWS Config ex は、リソース設定を定期的に調べ、変更された設定の設定項目を生成します。

AWS Config ルールを使用している場合、 は必要な設定について AWS リソース設定 AWS Config を継続的に評価します。ルールに応じて、 AWS Config は設定の変更に応じて、または定期的にリソースを評価します。各ルールは、ルールの評価ロジックが含まれている AWS Lambda 関数に関連付けられます。がリソース AWS Config を評価すると、ルールの AWS Lambda 関数が呼び出されます。この関数は、評価されたリソースのコンプライアンスステータスを返します。リソースがルールの条件に違反した場合、 はリソースとルールを非準拠として AWS Config フラグ付けします。リソースのコンプライアンスステータスが変更されると、 AWS Config は Amazon SNS トピックに通知を送信します。

設定項目の配信

AWS Config は、次のいずれかのチャネルを介して設定項目を配信できます。

Amazon S3 バケット

AWS Config は AWS リソースの設定の変更を追跡し、指定した Amazon S3 バケットに更新された設定の詳細を定期的に送信します。が AWS Config 記録するリソースタイプごとに、6 時間ごとに設定履歴ファイルを送信します。各設定履歴ファイルには、その 6 時間の間に変更があったリソースの詳細が含まれています。各ファイルに含まれるリソースタイプは 1 つです (Amazon EC2 インスタンスや Amazon EBS ボリュームなど)。設定変更が行われない場合、 AWS Config はファイルを送信しません。

AWS Config は、 AWS CLI で deliver-config-snapshot コマンドを使用するとき、または AWS Config API で DeliverConfigSnapshot アクションを使用するときに、設定スナップショットを Amazon S3 バケットに送信します。 Amazon S3 設定スナップショットには、 に AWS Config 記録されるすべてのリソースの設定の詳細が含まれます AWS アカウント。設定履歴ファイルと設定スナップショットは JSON 形式です。

注記

AWS Config は、設定履歴ファイルと設定スナップショットを指定された S3 バケットにのみ配信 AWS Config します。S3 バケット内のオブジェクトのライフサイクルポリシーは変更しません。ライフサイクルポリシーを使用して、オブジェクトを削除するか、Amazon S3 Glacier にアーカイブするかを指定できます。詳細については、Amazon Simple Storage Service Console ユーザーガイド中のライフサイクル設定の管理を参照してください。ブログ投稿の Amazon S3 データを S3 Glacier にアーカイブするも参照してください。

Amazon SNS トピック

Amazon Simple Notification Service (Amazon SNS) トピックは、E メールアドレスなどのサブスクライブしているエンドポイントやクライアントにメッセージ (または通知) を配信するために Amazon SNS で使用する通信チャネルです。その他の種類の Amazon SNS 通知として、携帯電話のアプリへのプッシュ通知メッセージ、SMS 対応の携帯電話やスマートフォンへのショートメッセージサービス (SMS) 通知、HTTP POST リクエストなどがあります。最適な結果を得るために、SNS トピックの通知エンドポイントとして Amazon SQS を使用し、通知内の情報をプログラムで処理します。

AWS Config は、指定した Amazon SNS トピックを使用して通知を送信します。受信する通知の種類は、次の例に示すように、メッセージ本文の messageType キーの値で示されます。

"messageType": "ConfigurationHistoryDeliveryCompleted"

通知には、次のいずれかのメッセージタイプを使用できます。

メッセージタイプ 説明
ComplianceChange通知 が AWS Config 評価するリソースのコンプライアンスタイプが変更されました。コンプライアンスタイプは、リソースが特定の AWS Config ルールに準拠しているかどうかを示し、メッセージ内の ComplianceType キーで表されます。メッセージには、比較のために newEvaluationResult オブジェクトと oldEvaluationResult オブジェクトが含まれます。
ConfigRulesEvaluationStarted AWS Config は、指定されたリソースに対するルールの評価を開始しました。
ConfigurationSnapshotDeliveryStarted AWS Config は、Amazon S3 バケットへの設定スナップショットの配信を開始しました。Amazon S3 バケットの名前は、メッセージの s3Bucket キーで示されます。
ConfigurationSnapshotDeliveryCompleted AWS Config は、設定スナップショットを Amazon S3 バケットに正常に配信しました。
ConfigurationSnapshotDeliveryFailed AWS Config は、設定スナップショットを Amazon S3 バケットに配信できませんでした。
ConfigurationHistoryDeliveryCompleted AWS Config は、設定履歴を Amazon S3 バケットに正常に配信しました。
ConfigurationItemChangeNotification リソースが作成または削除されるか、設定が変更されました。このメッセージには、この変更に対して が AWS Config 作成する設定項目の詳細と、変更のタイプが含まれます。これらの通知は、変更後数分以内に配信され、まとめて設定ストリームと呼ばれます。
OversizedConfigurationItemChange通知 このメッセージタイプは、設定項目の変更通知が Amazon SNS の最大許容サイズを超えた時に配信されます。メッセージには設定項目の概要が含まれます。SMS メッセージを除き、Amazon SNS メッセージには、XML、JSON、フォーマットされていないテキストなど、最大 256 KB のテキストデータを含めることができます。完全な通知の参照先は、指定した Amazon S3 バケット内にあります。
OversizedConfigurationItemChangeDeliveryFailed AWS Config は、オーバーサイズの設定項目変更通知を Amazon S3 バケットに配信できませんでした。

通知の例については、「の通知 AWS Config Amazon SNSトピックに送信します。」を参照してください。Amazon SNS の詳細については、Amazon Simple Notification Service デベロッパーガイド を参照してください。

注記

最新の設定変更が表示されないのはなぜですか?

AWS Config 通常、 は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がしばらく経っても解決しない場合は、 AWS Supportに連絡して、Amazon でサポートされている AWS Config メトリクスを提供します CloudWatch。これらのメトリクスの詳細については、AWS Config 「使用状況と成功のメトリクス」を参照してください。

へのアクセスを制御する AWS Config

AWS Identity and Access Management は、Amazon Web Services (AWS) のお客様がユーザーとユーザーのアクセス許可を管理できるようにするウェブサービスです。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。