配信チャネルの管理 - AWS Config
用語配信チャネルの更新配信チャネルの名前変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

配信チャネルの管理

は、 AWS リソースに発生した変更 AWS Config を継続的に記録するため、配信チャネル を介して通知と更新された設定状態を送信します。配信チャネルを管理して、 が設定更新 AWS Config を送信する場所を制御できます。

リージョンごとに AWS 1 つの配信チャネルしか持つことができず AWS アカウント、 を使用するには配信チャネルが必要です AWS Config。

がリソースの設定変更 AWS Config を検出し、通知が Amazon SNS で許可されている最大サイズを超えると、通知には設定項目の簡単な概要が含まれます。通知の全詳細は、s3BucketLocation フィールドで指定した Amazon S3 バケット内に表示されています。詳細については、[サイズが大きすぎる設定項目の変更に関する通知の例] を参照してください。

注記

AWS Config が使用する Amazon S3 バケットの AWS KMS 暗号化をサポート AWS Config

AWS Key Management Service (AWS KMS) キーまたはエイリアス Amazon リソースネーム (ARN) を指定して、Amazon Simple Storage Service (Amazon S3) バケットに配信されるデータを暗号化できます。デフォルトでは、 は設定履歴とスナップショットファイルを Amazon S3 バケットに AWS Config 配信し、S3 AES-256 サーバー側の暗号化 SSE-S3 を使用して保管中のデータを暗号化します。ただし、 AWS Config に KMS キーまたはエイリアス ARN を指定した場合、 は AES-256 暗号化の代わりにその KMS キー AWS Config を使用します。

AWS Config は、オブジェクトロックが有効で、デフォルトの保持が有効になっている Amazon S3 バケットへの配信チャネルをサポートしていません。詳細については、[How S3 Object Lock works (S3 オブジェクトロックの使い方)] を参照してください。

トピック

用語

設定項目は、アカウントに存在するサポートされている AWS リソースのさまざまな属性の point-in-time ビューを表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、および関連イベントが含まれます。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。例えば、 AWS Config が Amazon S3 バケットを記録する場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。 AWS Config に を選択して、設定した記録頻度で設定項目を作成することもできます。

設定履歴は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、記録されるリソースタイプごとに設定履歴ファイルを、指定した Amazon S3 バケットに自動的に AWS Config 配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。

設定スナップショットは、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショットをナビゲートできます。

設定ストリームは、記録するリソースのすべての設定項目を自動的に更新したリスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、リソースの設定を反映する必要がある外部システムを更新したりできるように、設定の変更をモニタリングするのに役立ちます AWS 。

配信チャネルの更新

配信チャネルを更新する場合は、以下のオプションを設定できます。

  • が設定スナップショットと設定履歴ファイル AWS Config を送信する Amazon S3 バケット。

  • AWS Config が Amazon S3 バケットに設定スナップショットを配信する頻度。

  • が設定変更に関する通知 AWS Config を送信する Amazon SNS トピック。

AWS Config コンソールを使用して、配信チャネルの Amazon S3 バケットと Amazon SNS トピックを設定できます。これらの設定を管理する手順については、[コンソール AWS Config でのセットアップ] を参照してください。

コンソールには、配信チャネルの名前変更、設定スナップショットの頻度の設定、または配信チャネルの削除のオプションはありません。これらのタスクを実行するには、、 AWS Config API AWS CLI、または SDKsのいずれか AWS を使用する必要があります。

以下のコード例は、PutDeliveryChannel の使用方法を示しています。

CLI
AWS CLI

配信チャネルを作成するには

次のコマンドは、配信チャネルの設定を JSON コードとして提供します。

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json ファイルは、配信チャネル属性を指定します。

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

この例では以下の属性を設定します。

name - 配信チャネルの名前。デフォルトでは、 AWS Config は新しい配信チャネルdefaultに名前を割り当てます。 put-delivery-channel コマンドを使用して配信チャネル名を更新することはできません。名前を変更する手順については、「配信チャネルの名前変更」を参照してください。s3BucketName- AWS Config が設定スナップショットと設定履歴ファイルを配信する Amazon S3 バケットの名前。別の AWS アカウントに属するバケットを指定する場合、そのバケットには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。

snsTopicARN - AWS Config が設定変更に関する通知を送信する Amazon SNS トピックの Amazon リソースネーム (ARN)。別のアカウントからトピックを選択した場合、トピックには AWS Config にアクセス許可を付与するポリシーが必要です。詳細については、Amazon SNSトピックのアクセス許可」を参照してください。

configSnapshotDeliveryProperties - 属性が含まれます。これはdeliveryFrequency、 AWS Config が設定スナップショットを配信する頻度と、定期的な Config ルールの評価を呼び出す頻度を設定します。

コマンドが成功すると、 AWS Config は出力を返しません。配信チャネルの設定を確認するには、 describe-delivery-channels コマンドを実行します。

  • API の詳細については、AWS CLI 「 コマンドリファレンス」のPutDelivery「チャネル」を参照してください。

PowerShell
のツール PowerShell

例 1: この例では、既存の配信チャネルの deliveryFrequency プロパティを変更します。

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

  • API の詳細については、「 コマンドレットリファレンス」のPutDelivery「チャネル」を参照してください。 AWS Tools for PowerShell

設定を記録して配信チャネルに配信するためのアクセス許可を describe-delivery-channels に付与するポリシーを新しいロールにアタッチする必要があります。

$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

以下のコード例は、DescribeDeliveryChannels の使用方法を示しています。

CLI
AWS CLI

配信チャネルの詳細を取得するには

次のコマンドは、配信チャネルに関する詳細を返します。

aws configservice describe-delivery-channels

出力:

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}
PowerShell
のツール PowerShell

例 1: この例では、リージョンの配信チャネルを取得し、詳細を表示します。

Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}

出力:

Name    S3BucketName               S3KeyPrefix DeliveryFrequency
----    ------------               ----------- -----------------
default config-bucket-NA my          TwentyFour_Hours

配信チャネルの名前変更

配信チャネルの名前を変更するには、まず現在の配信チャネルを削除し、次に新しい名前で作り直す必要があります。配信チャネルを削除する前に、一時的に設定レコーダーを停止する必要があります。

AWS Config コンソールには配信チャネルを削除するオプションがないため、 AWS CLI、 AWS Config API、または AWS SDKsのいずれかを使用する必要があります。

を使用した配信チャネルの名前の変更 AWS CLI

  1. stop-configuration-recorderコマンドを使用して設定レコーダーを停止します。

    $ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

  2. describe-delivery-channelsコマンドを使用して配信チャネルの属性を書き留めます。

    $ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

  3. delete-delivery-channelコマンドを使用して配信チャネルを削除します。

    $ aws configservice delete-delivery-channel --delivery-channel-name default

  4. put-delivery-channelコマンドを使用して、新しい名前で配信チャネルを作成します。

    $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

    deliveryChannel.json ファイルは、配信チャネルの属性を指定します。

    {
    "name": "myCustomDeliveryChannelName",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

  5. start-configuration-recorder コマンドを使用して記録を再開します。

    $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName