翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した AWS リソースの記録 AWS Config
AWS Config は、サポートされているリソースタイプの作成、変更、または削除を継続的に検出します。 はこれらのイベントを設定項目 (CI) として AWS Config 記録します。 CIs
は、サポートされているすべてのリソースタイプ、または関連するサポートされているリソースタイプのみの設定変更を記録する AWS Config ようにカスタマイズできます。が記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。
**Topics**
+ [
## 考慮事項
](#select-resources-considerations)
+ [リージョナルリソースとグローバルリソース](#select-resources-all)
+ [
## AWS Config ルールとグローバルリソースタイプ
](#select-resources-rules-and-global)
+ [記録頻度](#select-resources-recording-frequency)
+ [
## 記録対象外のリソース
](#select-resources-non-recorded)
+ [リソースの記録 (コンソール)](select-resources-console.md)
+ [リソースの記録 (AWS CLI)](select-resources-cli.md)
+ [リソースの除外](select-resources-excluding.md)
+ [記録の停止](select-resources-stopping-recording.md)
## 考慮事項
** AWS Config 評価の数が多い**
AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するために選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。
エフェメラルワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増加することがあります。一時的なワークロード**とは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。
一時的なワークロードの実行によるアクティビティの増加を回避するには、カスタマーマネージド設定レコーダーを設定してこれらのリソースタイプが記録されないようにするか、これらのタイプのワークロードをオフ AWS Config の別のアカウントで実行して、設定の記録とルール評価の増加を回避できます。
**利用可能なリージョン**
が追跡 AWS Config するリソースタイプを指定する前に、[リージョン別のリソースカバレッジの可用性](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)をチェックして、リソースタイプがセットアップした AWS リージョンでサポートされているかどうかを確認します AWS Config。
リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
## リージョナルリソースとグローバルリソースの違い
**リージョナルリソース**
リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。指定した に作成し AWS リージョン、そのリージョンに存在します。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。たとえば、 を使用して Amazon EC2 インスタンスを作成するには AWS マネジメントコンソール、インスタンスを作成する [を選択します AWS リージョン](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)。 AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、 `--region`パラメータを含めます。 AWS SDKs はそれぞれ、オペレーションが使用するリージョンを指定するための独自の同等のメカニズムを持っています。
リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。
AWS リージョン コンソールまたは AWS CLI コマンドで別の を指定した場合、前のリージョンに表示されるリソースを表示したり操作したりできなくなります。
リージョナルリソースの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を表示すると、そのリソースを含むリージョンが ARN の 4 番目のフィールドとして指定されています。例えば、Amazon EC2 インスタンスはリージョナルリソースです。以下に示しているのは、`us-east-1` リージョンに存在する Amazon EC2 インスタンス用の ARN の例です。
```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```
**グローバルリソース**
一部の AWS サービスリソースは*グローバルリソース*です。つまり、***どこからでも***リソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用するときに`--region`パラメータを指定しません。
グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。
例えば、Amazon Aurora グローバルクラスター (`AWS::RDS::GlobalCluster`) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。Amazon Relational Database Service (Amazon RDS) 自体はリージョンごとに構成されている一方で、グローバルクラスターを生成した特定のリージョンによってグローバルクラスターに影響を与えないという利点があります。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。
グローバルリソースの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) には、リージョンは含まれません。以下のグローバルクラスターの ARN の例のように、4 番目のフィールドは空です。
```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
2022 年 2 月 AWS Config 以降に にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョンに、 GovCloud パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらの新しいグローバルリソースタイプの設定項目 (CIs) は、ホームリージョンと AWS GovCloud (米国西部) でのみ表示できます。
2022 年 2 月より前にオンボードされたグローバルリソースタイプ (`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role`、および `AWS::IAM::User`) は変更されません。2022 年 2 月より前に AWS Config がサポートされているすべてのリージョンで、これらのグローバル IAM リソースの記録を有効にできます。これらのグローバル IAM リソースは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。
**グローバルリソースタイプ \$1 IAM リソース**
IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーの IAM リソースタイプはグローバルリソースです。これらのリソースタイプは、2022 年 2 月より前に AWS Config が利用可能なリージョンで によって AWS Config 記録できます。グローバル IAM リソースタイプを記録できないリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、アジアパシフィック (タイ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) イスラエル (テルアビブ)、メキシコ (中部)、および中東 (アラブ首長国連邦) が含まれます。
設定項目 (CI) の重複を防ぐために、サポートされる 1 つのリージョンで一度にグローバル IAM リソースを記録することだけを考慮する必要があります。また、不必要な評価や API スロットリングを回避するのにも役立ちます。
**グローバルリソースタイプ \$1 ホームリージョンのみ**
次のサービスのグローバルリソースは、Amazon Elastic Container Registry Public、Amazon Route 53 AWS Global Accelerator、Amazon CloudFront、および のグローバルリソースタイプのホームリージョンでのみ AWS Config によって記録されます AWS WAF。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できますが、設定項目 (CIs) は商用パーティションのホームリージョンまたは AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) でのみ記録されます。
**グローバルリソースタイプのホームリージョン**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/select-resources.html)
**グローバルリソースタイプ \$1 Aurora グローバルクラスター**
`AWS::RDS::GlobalCluster` は、カスタマーマネージド設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されるグローバルリソースです。このグローバルリソースタイプは、1 つのリージョンでこのリソースの記録を有効にした場合、 AWS Config は有効なすべてのリージョンでこのリソースタイプの設定項目 (CIs) を記録するという点で一意です。
有効なすべてのリージョンで `AWS::RDS::GlobalCluster` を記録しない場合は、次のいずれかの AWS Config コンソールの記録方法を使用します。
+ **カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し、**AWS 「RDS GlobalCluster」を選択し、オーバーライド「記録から除外」を選択します。
+ **[特定のリソースタイプを記録する]**。
有効なすべてのリージョンで `AWS::RDS::GlobalCluster` を記録しない場合、API/CLI に対して次のいずれかの記録方法を使用します。
+ **除外を伴う、現在および将来のリソースタイプを記録する** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **[特定のリソースタイプを記録する]** (`INCLUSION_BY_RESOURCE_TYPES`)。
## AWS Config ルールとグローバルリソースタイプ
2022 年 2 月より前にオンボードされたグローバル IAM リソースタイプ (`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role`、および `AWS::IAM::User`) は、2022 年 2 月より前に AWS Config が利用可能なリージョンでのみ AWS Config によって記録できます。これらのグローバル IAM リソースタイプは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、「[Recording AWS Resources \$1 Global Resources](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。
**2022 年 2 月より前のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス**
不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックのみを、サポートされているリージョンの 1 つにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「[List of AWS Config Managed Rules by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)」を参照してください。これは、 AWS Config ルール、組織 AWS Config ルール、および AWS Security Hub CSPM や などの他の AWS サービスによって作成されたルールにも適用されます AWS Control Tower。
2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**2022 年 2 月より後のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス**
2022 年 2 月以降に AWS Config 記録にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョンに、 AWS GovCloud (US) パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらのグローバルリソースがスコープ内にある AWS Config ルールとコンフォーマンスパックは、リソースタイプのホームリージョンにのみデプロイする必要があります。詳細については、「[Home Regions for Global Resource Types](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
## の記録頻度 AWS Config
AWS Config は、*連続録画*と*日次録画*をサポートしています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日次記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を受け取ることができます。録画頻度を変更する手順については、「[Changing Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html)」を参照してください。
**継続的な記録**
継続的な記録のメリットには次が含まれます。
+ **リアルタイムモニタリング**: 継続的な記録は、不正な変更や予期しない変更を即時に検出できるため、セキュリティとコンプライアンスへの取り組みを強化できます。
+ **詳細な分析**: 継続的な記録は、リソースへの設定変更が発生したときに詳細に分析できるため、その時点でのパターンや傾向を識別できます。
**日次記録**
日次記録のメリットには次が含まれます。
+ **最小限の中断**: 日次記録により、情報の流れを管理しやすくなるため、通知の頻度とアラートの疲労を軽減できます。
+ **コスト効率**: 日次記録は、リソースへの変更をより低い頻度で柔軟に記録できるため、記録される設定変更の数に関連するコストを削減できます。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
## 記録対象外のリソース
リソースが記録されていない場合、 はそのリソースの作成と削除のみを AWS Config キャプチャし、その他の詳細はキャプチャしません。記録されていないリソースが作成または削除されると、 は通知 AWS Config を送信し、リソースの詳細ページにイベントを表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。
が記録済みリソース AWS Config に提供する関係情報は、記録されていないリソースのデータがないため、制限されません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。
**IAM リソースタイプの考慮事項**
`AWS::IAM::User`、`AWS::IAM::Policy`、` AWS::IAM::Group`、`AWS::IAM::Role` リソースタイプは、リソースがカスタマー管理設定レコーダーに記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (`ResourceNotRecorded`) および削除 (`ResourceDeletedNotRecorded`) の状態をキャプチャします。
**記録対象外のリソースの CI 記録スケジュール**
`ResourceNotRecorded` および `ResourceDeletedNotRecorded` の設定項目 (CI) は、リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、他のリソースタイプよりも頻度が低いカスタマー管理設定レコーダーの定期的なベースライニングプロセス中にのみ記録されます。つまり、作成と削除の通知は、作成時や削除時ではなく、ベースライニングプロセス中に送信されます。
**CI 配信とサービスリンクレコーダーの範囲**
サービスリンク設定レコーダーの場合、記録範囲により、配信チャネルで設定項目 (CI) を受信するかどうかが決定されます。記録範囲は、設定レコーダーにリンクされているサービスによって設定されます。記録範囲が INTERNAL の場合、配信チャネルで CI を受信しません。
# AWS Config コンソールでのリソースの記録
AWS Config コンソールを使用して、 がカスタマーマネージド設定レコーダー AWS Config に記録するリソースのタイプを選択できます。
**リソースを選択するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) で AWS Config コンソールを開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[カスタマー管理レコーダー]** タブで、**[編集]** を選択します。
1. **[記録方法]** セクションで、記録方法を選択します。 AWS Config 記録する AWS リソースを指定できます。
------
#### [ All resource types with customizable overrides ]
このリージョンで現在および将来サポートされているすべてのリソースタイプの設定変更を記録する AWS Config ように を設定します。特定のリソースタイプの記録頻度をオーバーライドしたり、特定のリソースタイプを記録から除外したりできます。詳細については、[[サポートされるリソースタイプ]](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) を参照してください。
+ **デフォルト設定**
現在および将来サポートされるすべてのリソースタイプについて、デフォルトの記録頻度を設定します。詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
+ 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録 AWS Config します。
+ 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
+ **上書き設定**
特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりします。リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。
------
#### [ Specific resource types ]
指定したリソースタイプのみの設定変更を記録する AWS Config ように を設定します。
+ **特定のリソースタイプ**
記録するリソースタイプとその頻度を選択します。詳細については、「[Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)」を参照してください。
+ 継続的な記録 – は、変更が発生するたびに設定の変更を継続的に記録 AWS Config します。
+ 日時記録 - 以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。
**注記**
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。
リソースタイプの記録頻度を変更するか、またはリソースタイプの記録を停止した場合、既に記録されている設定項目は変更されません。
------
1. **[保存]** を選択して変更を保存します。
## リソースを記録する際の考慮事項
** AWS Config 評価の数が多い**
AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するように選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。
エフェメラルワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増加することがあります。一時的なワークロード**とは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingなどがあります。一時的なワークロードの実行によるアクティビティの増加を回避するには、カスタマーマネージド設定レコーダーを設定してこれらのリソースタイプが記録されないようにするか、これらのタイプのワークロードをオフ AWS Config の別のアカウントで実行して、設定記録とルール評価の増加を回避できます。
------
#### [ Considerations: All resource types with customizable overrides ]
**グローバルに記録するリソースタイプ \$1 Aurora グローバルクラスターは、最初は記録に含められます**
`AWS::RDS::GlobalCluster` リソースタイプは、カスタマーマネージド設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されます。
すべての有効なリージョンで `AWS::RDS::GlobalCluster` を記録しない場合、「AWS RDS GlobalCluster」を選択し、「記録から除外する」というオーバーライドを選択します。
**グローバルリソースタイプ \$1 IAM リソースタイプは、最初は記録から除外されます。**
コスト削減のため、グローバル IAM リソースタイプは、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。**[削除]** を選択してオーバーライドを削除し、これらのリソースを記録に含めます。
さらに、グローバル IAM リソースタイプ (`AWS::IAM::User`、`AWS::IAM::Group`、`AWS::IAM::Role`、および `AWS::IAM::Policy`) は、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、[AWS 「リソースの記録 \$1 グローバルリソース](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
**制限**
最大 100 の頻度のオーバーライドと 600 の除外のオーバーライドを追加できます。
次のリソースタイプに日次記録はサポートされていません。
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
#### [ Considerations: Specific resource types ]
**利用可能なリージョン**
が追跡 AWS Config するリソースタイプを指定する前に、[Resource Coverage by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html) をチェックして、リソースタイプがセットアップした AWS リージョンでサポートされているかどうかを確認します AWS Config。リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。
**制限**
すべてのリソースタイプが同じ頻度であれば制限はありません。少なくとも 1 つのリソースタイプが継続に設定されている場合、日次の頻度で最大 100 のリソースタイプを追加できます。
次のリソースタイプに日次頻度はサポートされていません。
+ `AWS::Config::ResourceCompliance`
+ `AWS::Config::ConformancePackCompliance`
+ `AWS::Config::ConfigurationRecorder`
------
# CLI AWS を使用したリソースの記録
AWS CLI を使用して、 AWS Config 記録するリソースのタイプを選択できます。これを行うには、カスタマー管理設定レコーダーを作成します。設定レコーダーは、記録グループ内の指定されたタイプのリソースを記録します。記録グループ内では、サポートされているすべてのリソースタイプを記録するのか、特定のリソースタイプのみを含めるか、または除外するかを指定します。
------
#### [ Record all current and future supported resource types ]
このリージョンで現在および将来サポートされているすべてのリソースタイプの設定変更を記録する AWS Config ように を設定します。サポートされるリソースタイプのリストについては、「[サポートされているリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)」を参照してください。
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)コマンドを使用します。
このコマンドは、[`--configuration-recorder`] フィールドと [`---recording-group`] フィールドを使用します。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**[`configuration-recorder`] フィールド**
[`configurationRecorder.json`] ファイルは、`name` および `roleArn`、さらに設定レコーダーのデフォルトの記録頻度を指定します (`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**[`recording-group`] フィールド**
`recordingGroup.json` ファイルは、記録するリソースタイプを指定します。
```
{
"allSupported": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": true
}
```
オブジェクトの詳細については、「*AWS CLI コマンドリファレンス*」の「[https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)」を参照してください。
1. (オプション) カスタマー管理設定レコーダーが正しく設定されていることを確認するには、次の [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) コマンドを使用します。
```
$ aws configservice describe-configuration-recorders
```
以下に、応答の例を示します。
```
{
"ConfigurationRecorders": [
{
"name": "default"
"recordingGroup": {
"allSupported": true,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": true,
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record all current and future supported resources types excluding the types you specify ]
記録から除外 AWS Config するように指定するリソースタイプを除く、グローバルリソースタイプを含む、現在および将来サポートされているすべてのリソースタイプの設定変更を記録するように を設定します。
リソースタイプの記録を停止することを選択した場合、既に記録されている設定項目は変更されません。サポートされるリソースタイプのリストについては、「[サポートされているリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)」を参照してください。
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)コマンドを使用します。
このコマンドは、[`--configuration-recorder`] フィールドと [`---recording-group`] フィールドを使用します。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**[`configuration-recorder`] フィールド**
[`configurationRecorder.json`] ファイルは、`name` および `roleArn`、さらに設定レコーダーのデフォルトの記録頻度を指定します (`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**[`recording-group`] フィールド**
`recordingGroup.json` ファイルは、記録 AWS Config するリソースのタイプを指定します。次の例に示すように、`exclusionByResourceTypes` の [`resourceTypes`] フィールドに除外する 1 つ以上のリソースタイプを渡します。
```
{
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
}
```
オブジェクトの詳細については、「*AWS CLI コマンドリファレンス*」の「[https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)」を参照してください。
1. (オプション) カスタマー管理設定レコーダーが正しく設定されていることを確認するには、次の [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) コマンドを使用します。
```
$ aws configservice describe-configuration-recorders
```
以下に、応答の例を示します。
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": [
"AWS::Redshift::ClusterSnapshot",
"AWS::RDS::DBClusterSnapshot",
"AWS::CloudFront::StreamingDistribution"
]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [],
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
#### [ Record specific resource types ]
指定したリソースタイプのみの設定変更を記録する AWS Config ように を設定します。
リソースタイプの記録を停止することを選択した場合、既に記録されている設定項目は変更されません。サポートされるリソースタイプのリストについては、「[サポートされているリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)」を参照してください。
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)コマンドを使用します。
このコマンドは、[`--configuration-recorder`] フィールドと [`---recording-group`] フィールドを使用します。
```
$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json
```
**[`configuration-recorder`] フィールド**
[`configurationRecorder.json`] ファイルは、`name` および `roleArn`、さらに設定レコーダーのデフォルトの記録頻度を指定します (`recordingMode`)。
```
{
"name": "default",
"roleARN": "arn:aws:iam::123456789012:role/config-role",
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override",
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override ]
}
]
}
}
```
**[`recording-group`] フィールド**
`recordingGroup.json` ファイルは、記録 AWS Config するリソースのタイプを指定します。次の例に示すように、[`resourceTypes`] フィールドに除外する 1 つ以上のリソースタイプを渡します。
```
{
"allSupported": false,
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"includeGlobalResourceTypes": false,
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
}
```
オブジェクトの詳細については、「*AWS CLI コマンドリファレンス*」の「[https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)」を参照してください。
1. (オプション) カスタマー管理設定レコーダーが正しく設定されていることを確認するには、次の [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-configuration-recorders.html) コマンドを使用します。
```
$ aws configservice describe-configuration-recorders
```
以下に、応答の例を示します。
```
{
"ConfigurationRecorders": [
{
"name": "default",
"recordingGroup": {
"allSupported": false,
"exclusionByResourceTypes": {
"resourceTypes": []
},
"includeGlobalResourceTypes": false
"recordingStrategy": {
"useOnly": "INCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [
"AWS::EC2::EIP",
"AWS::EC2::Instance",
"AWS::EC2::NetworkAcl",
"AWS::EC2::SecurityGroup",
"AWS::CloudTrail::Trail",
"AWS::EC2::Volume",
"AWS::EC2::VPC",
"AWS::IAM::User",
"AWS::IAM::Policy"
]
},
"recordingMode": {
"recordingFrequency": CONTINUOUS or DAILY,
"recordingModeOverrides": [
{
"description": "Description you provide for the override,
"recordingFrequency": CONTINUOUS or DAILY,
"resourceTypes": [ Comma-separated list of resource types to include in the override]
}
]
},
"roleARN": "arn:aws:iam::123456789012:role/config-role"
}
]
}
```
------
# を使用した記録からのリソースの除外 AWS Config
AWS Config では、インベントリ追跡とコンプライアンスモニタリングから特定のタイプの AWS リソースを除外しながら、将来追加されるリソースを含め AWS Config、現在利用可能な他のすべてのサポートされているリソースタイプを追跡できます。この機能を使用すると、コンプライアンスおよびガバナンスの基準が適用される重要なリソースに注力できます。
------
#### [ Excluding resources (Console) ]
AWS リソースタイプを記録しない場合は、 AWS Config コンソールで次のいずれかの記録戦略を使用します。
+ **カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し**、除外するリソースタイプを選択し、オーバーライド「記録から除外」を選択します
+ **[特定のリソースタイプを記録する]**。
詳細については、「[リソースの記録 (コンソール)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-console.html)」を参照してください。
------
#### [ Excluding resources (AWS CLI) ]
AWS リソースタイプを記録しない場合は、API/CLI に次のいずれかの記録戦略を使用します。
+ **除外を伴う、現在および将来のリソースタイプを記録する** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **[特定のリソースタイプを記録する]** (`INCLUSION_BY_RESOURCE_TYPES`)。
詳細については、「[リソースの記録 (AWS CLI)](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-cli.html)」を参照してください。
------
# カスタマーマネージド設定レコーダーによる AWS Config 記録の停止
カスタマーマネージド設定レコーダーへの AWS Config 記録はいつでも停止できます。がリソースの記録 AWS Config を停止すると、以前にキャプチャされた設定情報が保持され、この情報に引き続きアクセスできます。
記録を停止する手順については、「[カスタマー管理設定レコーダーを停止する](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-stop.html)」を参照してください。