を使用した AWS リソースの記録 AWS Config - AWS Config
考慮事項リージョンリソースとグローバルリソースAWS Config ルールとグローバルリソースタイプ記録頻度記録されていないリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した AWS リソースの記録 AWS Config

AWS Config は、サポートされているリソースタイプの作成、変更、または削除を継続的に検出します。 AWS Config は、これらのイベントを設定項目 () として記録しますCIs。

すべてのサポートされているリソースタイプの変更、またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。が記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してくださいでサポートされているリソースタイプ AWS Config

トピック

考慮事項

AWS Config 評価数が多い

AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するように選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。

エフェメラルワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増加することがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 などがあります AWS Auto Scaling。

エフェメラルワークロードの実行によるアクティビティの増加を回避するには、カスタマーマネージド設定レコーダーを設定してこれらのリソースタイプが記録されないようにするか、これらのタイプのワークロードをオフ AWS Config の別のアカウントで実行して、設定の記録とルール評価の増加を回避できます。

利用可能なリージョン

が追跡 AWS Config するリソースタイプを指定する前に、リージョン別のリソースカバレッジの可用性をチェックして、設定した AWS リージョンでリソースタイプがサポートされていることを確認します AWS Config。

リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

リージョナルリソースとグローバルリソースの違い

リージョナルリソース

リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。指定した に作成し AWS リージョン、そのリージョンに存在します。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。例えば、 を使用して Amazon EC2インスタンスを作成するには AWS Management Console、インスタンスを作成する を選択します AWS リージョン。 AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、 --regionパラメータを含めます。各 AWS SDKsには、オペレーションが使用するリージョンを指定する独自の同等のメカニズムがあります。

リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。

AWS リージョン コンソールまたは コマンドで AWS CLI 別の を指定した場合、前のリージョンで表示されていたリソースを表示したり操作したりできなくなります。

リージョンリソースの Amazon リソースネーム (ARN) を確認すると、リソースを含むリージョンが の 4 番目のフィールドとして指定されますARN。例えば、Amazon EC2インスタンスはリージョンリソースです。以下は、 us-east-1リージョンに存在する Amazon EC2インスタンスARNの の例です。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
グローバルリソース

一部の AWS サービスリソースはグローバルリソースです。つまり、どこからでもリソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用するときに--regionパラメータを指定しません。

グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。

例えば、Amazon Aurora グローバルクラスター (AWS::RDS::GlobalCluster) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。利点は、Amazon Relational Database Service (Amazon RDS) 自体がリージョン別に整理されているのに対し、グローバルクラスターの発信元の特定のリージョンはグローバルクラスターに影響を与えないことです。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。

グローバルリソースの Amazon リソースネーム (ARN) には、リージョンは含まれません。グローバルARNクラスターの の次の例のように、4 番目のフィールドは空です。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

2022 年 2 月 AWS Config 以降に にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョンに、 GovCloud パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらの新しいグローバルリソースタイプの設定項目 (CIs) は、ホームリージョンおよび AWS GovCloud (米国西部) でのみ表示できます。

2022 年 2 月より前にオンボードされたグローバルリソースタイプ (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、および AWS::IAM::User) は変更されません。これらのグローバルIAMリソースの記録は、2022 年 2 月より前に AWS Config がサポートされているすべてのリージョンで有効にできます。これらのグローバルIAMリソースは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。

グローバルリソースタイプ | IAMリソース

ユーザー、グループIAM、ロール、カスタマー管理ポリシーのグローバルリソースIAMタイプは、次のとおりです。これらのリソースタイプは、 が 2022 年 2 月より前に利用可能 AWS Config だったリージョン AWS Config で によって記録できます。グローバルIAMリソースタイプを記録できないこのリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ)、イスラエル (テルアビブ)、中東 () の各リージョンが含まれますUAE。

設定項目が重複しないようにするには (CIs)、サポートされているリージョンのいずれかでグローバルIAMリソースタイプを 1 回のみ記録することを検討してください。これにより、不要な評価やAPIスロットリングを回避することもできます。

グローバルリソースタイプ | ホームリージョンのみ

次のサービスのグローバルリソースは、グローバルリソースタイプのホームリージョン AWS Config の によってのみ記録されます: Amazon Elastic Container Registry Public、 AWS Global Accelerator、Amazon Route 53 CloudFront、Amazon、 AWS WAF。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できますが、設定項目 (CIs) は商用パーティションのホームリージョンまたは AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) にのみ記録されます。

グローバルリソースタイプのホームリージョン
AWS サービス リソースタイプの値 ホームリージョン
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 米国東部 (バージニア北部) リージョン
AWS Global Accelerator AWS::GlobalAccelerator::Listener 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::EndpointGroup 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::Accelerator 米国西部 (オレゴン) リージョン
Amazon Route 53 AWS::Route53::HostedZone 米国東部 (バージニア北部) リージョン
AWS::Route53::HealthCheck 米国東部 (バージニア北部) リージョン
Amazon CloudFront AWS::CloudFront::Distribution 米国東部 (バージニア北部) リージョン
AWS WAF AWS::WAFv2::WebACL 米国東部 (バージニア北部) リージョン
グローバルリソースタイプ | Aurora グローバルクラスター

AWS::RDS::GlobalCluster は、カスタマーマネージド設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されるグローバルリソースです。このグローバルリソースタイプは、1 つの リージョンでこのリソースの記録を有効にすると、 AWS Config は有効なすべてのリージョンでこのリソースタイプの設定項目 (CIs) を記録するという点で一意です。

有効なすべてのリージョンAWS::RDS::GlobalClusterで を記録しない場合は、 AWS Config コンソールで次のいずれかの記録方法を使用します。

  • カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し、AWS RDS GlobalCluster「」を選択し、オーバーライド「記録から除外」を選択します。

  • [特定のリソースタイプを記録する]

有効なすべてのリージョンAWS::RDS::GlobalClusterで を記録しない場合は、API/ に次のいずれかの記録戦略を使用しますCLI。

  • 除外を伴う、現在および将来のリソースタイプを記録する (EXCLUSION_BY_RESOURCE_TYPES)

  • [特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config ルールとグローバルリソースタイプ

2022 年 2 月より前にオンボーディングされたグローバルIAMリソースタイプ (AWS::IAM::GroupAWS::IAM::Role、、および AWS::IAM::PolicyAWS::IAM::User) は、2022 年 2 月より前に が利用可能 AWS Config であったリージョンでのみ AWS Config によって記録できます。これらのグローバルIAMリソースタイプは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

少なくとも 1 つのリージョンにグローバルIAMリソースタイプを記録する場合、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールは、定期的なルールが追加されたリージョンでグローバルIAMリソースタイプの記録を有効にしていない場合でも、定期的なルールが追加されたすべてのリージョンで評価を実行します。

2022 年 2 月より前のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックのみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。これは、 AWS Config ルール、組織 AWS Config ルール、および AWS Security Hub や などの他の AWS のサービスによって作成されたルールにも適用されます AWS Control Tower。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。

2022 年 2 月より後のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス

2022 年 2 月以降に AWS Config 記録にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、 AWS GovCloud (US) パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。リソースタイプのホームリージョンで、これらのグローバルリソースを範囲とする AWS Config ルールと適合パックをデプロイします。詳細については、「Home Regions for Global Resource Types」を参照してください。

の記録頻度 AWS Config

AWS Config は、連続録画日次録画をサポートしています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日時記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ることができます。録画頻度を変更する手順については、「Changing Recording Frequency」を参照してください。

継続的な記録

継続的な記録のメリットには次が含まれます。

  • リアルタイムモニタリング: 継続的な記録は、不正な変更や予期しない変更を即時に検出できるため、セキュリティとコンプライアンスへの取り組みを強化できます。

  • 詳細な分析: 継続的な記録は、リソースへの設定変更が発生したときに詳細に分析できるため、その時点でのパターンや傾向を識別できます。

日次記録

日次記録のメリットには次が含まれます。

  • 最小限の中断: 日次記録により、情報の流れを管理しやすくなるため、通知の頻度とアラートの疲労を軽減できます。

  • コスト効率: 日次記録は、リソースへの変更をより低い頻度で柔軟に記録できるため、記録される設定変更の数に関連するコストを削減できます。

注記

AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

記録されていないリソース

リソースが記録されていない場合、 は、そのリソースの作成と削除のみ AWS Config を取得し、その他の詳細はキャプチャしません。記録されていないリソースが作成または削除されると、 は通知 AWS Config を送信し、リソースの詳細ページにイベントを表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

注記

AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Roleリソースタイプは、リソースがカスタマーマネージド設定レコーダー に記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (ResourceNotRecorded) および削除 (ResourceDeletedNotRecorded) 状態をキャプチャします。

注記

ResourceNotRecorded および の設定項目 (CIs) は、リソースタイプの一般的な記録時間に従ってResourceDeletedNotRecordedいません。これらのリソースタイプは、カスタマーマネージド設定レコーダー の定期的なベースライン作成プロセス中にのみ記録されます。これは、他のリソースタイプよりも頻度が低くなります。

注記

サービスにリンクされた設定レコーダーの場合、記録スコープによって、配信チャネルで設定項目 (CIs) を受信するかどうかが決まります。記録スコープは、設定レコーダーにリンクされているサービスによって設定されます。録画スコープが内部の場合、配信チャネルCIsで を受信しません。

が記録済みリソース AWS Config に提供する関係情報は、記録されていないリソースのデータが欠落しているため、制限されません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。