AWS リソースの記録 - AWS Config
考慮事項リージョナルリソースとグローバルリソースAWS Config ルールとグローバルリソースタイプ記録対象外のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS リソースの記録

AWS Config は、サポートされているリソースタイプが作成、変更、または削除されたことを継続的に検出します。 は、これらのイベントを構成アイテム () として AWS Config 記録しますCIs。すべてのサポートされているリソースタイプの変更、またはユーザーに関連するタイプのみの変更を記録するように AWS Config をカスタマイズできます。記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してくださいサポートされているリソースタイプ

トピック

考慮事項

AWS Config 評価数が多い

AWS Config での最初の月の記録中に、その後の月と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、記録 AWS Config するために選択したアカウント内のすべてのリソースの評価 AWS Config を実行します。

一時的なワークロードを実行している場合は、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増えることがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ、 などがあります AWS Auto Scaling。一時的なワークロードの実行によるアクティビティの増加を回避したい場合は、これらのリソースタイプが記録されないように設定レコーダーをセットアップするか、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行して、設定記録とルール評価の増加を回避できます。

利用可能なリージョン

追跡 AWS Config する のリソースタイプを指定する前に、Resource Coverage by Region の可用性をチェックして、リソースタイプが を設定した AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合、 をセットアップしたリージョンで指定されたリソースタイプがサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

リージョナルリソースとグローバルリソースの違い

リージョナルリソース

リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。指定した で作成し AWS リージョン、そのリージョンに存在します。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。例えば、 を使用して Amazon EC2インスタンスを作成するには AWS Management Console、インスタンスを作成する を選択します AWS リージョン。 AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、 --regionパラメータを含めます。 AWS SDKs それぞれに、オペレーションが使用するリージョンを指定する独自の同等のメカニズムがあります。

リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。

AWS リージョン コンソールまたは コマンドで AWS CLI 別の を指定した場合、前のリージョンで表示されていたリソースを表示したり操作したりできなくなります。

リージョンリソースの Amazon リソースネーム (ARN) を確認すると、リソースを含むリージョンが の 4 番目のフィールドとして指定されますARN。例えば、Amazon EC2インスタンスはリージョンリソースです。以下は、us-east-1リージョンに存在する Amazon EC2インスタンスARNの の例です。

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
グローバルリソース

一部の AWS サービスリソースはグローバルリソース です。つまり、どこからでもリソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用するときに--regionパラメータを指定しません。

グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。

例えば、Amazon Aurora グローバルクラスター (AWS::RDS::GlobalCluster) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。利点は、Amazon Relational Database Service (Amazon RDS) 自体がリージョン別に整理されているのに対し、グローバルクラスターの発信元となる特定のリージョンがグローバルクラスターに影響を与えないことです。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。

グローバルリソースの Amazon リソースネーム (ARN) には、リージョンは含まれません。グローバルクラスターの次の例のように、4 番目のフィールドARNは空です。

arn:aws:rds::123456789012:global-cluster:test-global-cluster
重要

2022 年 2 月 AWS Config 以降に にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、 GovCloud パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらの新しいグローバルリソースタイプの設定項目 (CIs) は、ホームリージョンおよび AWS GovCloud (米国西部) でのみ表示できます。

2022 年 2 月より前にオンボードされたグローバルリソースタイプ (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、および AWS::IAM::User) は変更されません。これらのグローバルIAMリソースの記録は、2022 年 2 月より前にサポート AWS Config されたすべての リージョンで有効にできます。これらのグローバルIAMリソースは、2022 年 2 月 AWS Config 以降に がサポートするリージョンでは記録できません。

グローバルリソースタイプ | IAMリソース

ユーザーIAM、グループ、ロール、カスタマー管理ポリシーなどのリソースIAMタイプはグローバルリソースです。これらのリソースタイプは、2022 年 2 月より前に利用可能 AWS Config になったリージョン AWS Config で によって記録できます。グローバルIAMリソースタイプを記録できないこのリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ)、イスラエル (テルアビブ)、中東 () の各リージョンが含まれますUAE。

設定項目 (CIs) の重複を防ぐには、サポートされているリージョンのいずれかでグローバルIAMリソースタイプを 1 回のみ記録することを検討する必要があります。これにより、不要な評価やAPIスロットリングを回避することもできます。

グローバルリソースタイプ | ホームリージョンのみ

次のサービスのグローバルリソースは、グローバルリソースタイプのホームリージョン AWS Config 、Amazon Elastic Container Registry Public、 AWS Global Accelerator Amazon Route 53、Amazon CloudFront、および でのみ記録されます AWS WAF。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できますが、設定項目 (CIs) は商用パーティションのホームリージョンまたは AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) にのみ記録されます。

グローバルリソースタイプのホームリージョン
AWS サービス リソースタイプの値 ホームリージョン
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 米国東部 (バージニア北部) リージョン
AWS Global Accelerator AWS::GlobalAccelerator::Listener 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::EndpointGroup 米国西部 (オレゴン) リージョン
AWS::GlobalAccelerator::Accelerator 米国西部 (オレゴン) リージョン
Amazon Route 53 AWS::Route53::HostedZone 米国東部 (バージニア北部) リージョン
AWS::Route53::HealthCheck 米国東部 (バージニア北部) リージョン
Amazon CloudFront AWS::CloudFront::Distribution 米国東部 (バージニア北部) リージョン
AWS WAF AWS::WAFv2::WebACL 米国東部 (バージニア北部) リージョン
グローバルリソースタイプ | Aurora グローバルクラスター

AWS::RDS::GlobalCluster は、設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されるグローバルリソースです。このグローバルリソースタイプは、1 つのリージョンでこのリソースの記録を有効にすると、有効なすべてのリージョンでこのリソースタイプの設定項目 (CIs) AWS Config が記録されるという点で一意です。

有効なすべてのリージョンAWS::RDS::GlobalClusterで録画しない場合は、 AWS Config コンソールで次のいずれかの録画戦略を使用します。

  • カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し、AWS RDS GlobalCluster「」を選択し、オーバーライドを選択します「記録から除外する」

  • [特定のリソースタイプを記録する]

有効なすべてのリージョンAWS::RDS::GlobalClusterで録画しない場合は、API/ に次のいずれかの録画戦略を使用しますCLI。

  • 除外を伴う、現在および将来のリソースタイプを記録する (EXCLUSION_BY_RESOURCE_TYPES)

  • [特定のリソースタイプを記録する] (INCLUSION_BY_RESOURCE_TYPES)。

AWS Config ルールとグローバルリソースタイプ

2022 年 2 月より前にオンボードされたグローバルIAMリソースタイプ (AWS::IAM::GroupAWS::IAM::Role、、および AWS::IAM::User) はAWS::IAM::Policy、2022 年 2 月より前に利用可能 AWS Config になったリージョンでのみ AWS Config によって記録できます。これらのグローバルIAMリソースタイプは、2022 年 2 月 AWS Config 以降に がサポートするリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

少なくとも 1 つのリージョンにグローバルIAMリソースタイプを記録する場合、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールは、定期的なルールが追加されたリージョンでグローバルIAMリソースタイプの記録を有効にしていない場合でも、定期的なルールが追加されたすべてのリージョンで評価を実行します。

2022 年 2 月より前にオンボーディングされたグローバルリソースのコンプライアンスを報告するためのベストプラクティス

不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックのみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのリージョンでサポートされているマネージドルールのリストについては、「リージョンの可用性による AWS Config マネージドルールのリスト」を参照してください。これは、 AWS Config ルール、組織 AWS Config ルール、および AWS Security Hub や などの他の AWS サービスによって作成されたルールにも適用されます AWS Control Tower。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。

2022 年 2 月以降にオンボーディングされたグローバルリソースのコンプライアンスを報告するためのベストプラクティス

2022 年 2 月以降に AWS Config 録画にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョン、 AWS GovCloud (US) パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックは、リソースタイプのホームリージョンにのみデプロイする必要があります。詳細については、「グローバルリソースタイプのホームリージョン」を参照してください。

記録対象外のリソース

リソースが記録されていない場合、 は、そのリソースの作成と削除のみ AWS Config を取得し、他の詳細も取得しません。記録されていないリソースが作成または削除されると、 は通知 AWS Config を送信し、リソースの詳細ページにイベントを表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

注記

AWS::IAM::UserAWS::IAM::Policy AWS::IAM::GroupAWS::IAM::Role リソースタイプは、リソースが設定レコーダーに記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (ResourceNotRecorded) および削除 (ResourceDeletedNotRecorded) の状態をキャプチャします。

注記

ResourceNotRecorded および の設定項目 (CIs) ResourceDeletedNotRecordedは、リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、他のリソースタイプよりも頻度が低い設定レコーダーの定期的なベースラインプロセス中にのみ記録されます。

が記録済みリソース AWS Config に提供する関係情報は、記録されていないリソースのデータがないため、制限されません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。