翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower の AWS Config コストを管理する
このセクションでは、 が AWS Control Tower アカウントのリソースの変更 AWS Config を記録して請求する方法について説明します。この情報は、AWS Control Tower を利用するときに AWS Config、 に関連するコストを管理する方法を理解するのに役立ちます。AWS Control Tower では追加費用が不要です。
注記
ランディングゾーンバージョンが 3.0 以降の場合: AWS Control Tower は、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルリソースの記録をホームリージョンのみに制限します。したがって、このセクションの情報の一部がランディングゾーンに適用されない場合があります。
AWS Config は、アカウントが動作する各リージョンの各リソースに対する各変更を、設定項目 (CI) として記録するように設計されています。 は、生成する各設定項目に対して AWS Config 請求します。
AWS Config の仕組み
AWS Config は、各リージョンのリソースを個別に記録します。IAM ロールなどの一部のグローバルリソースは、リージョンごとに 1 回記録されます。例えば、5 つのリージョンで運用されている登録済みアカウントに新しい IAM ロールを作成すると、 はリージョンごとに 1 つずつ、5 CIs AWS Config を生成します。Route 53 ホストゾーンなどの他のグローバルリソースは、すべてのリージョンで 1 回だけ記録されます。たとえば、登録済みアカウントで新しい Route 53 ホストゾーンを作成すると、そのアカウントに選択されているリージョンの数に関係なく、 AWS Config が CI を 1 回生成します。これらのタイプのリソースを区別するのに役立つリストについては、「同じリソースが複数回記録されている」を参照してください。
注記
AWS Control Tower が と連携する場合 AWS Config、リージョンは AWS Control Tower によって管理される、または管理されない可能性があります。アカウントがそのリージョンで運用されている場合は、 によって変更が記録され AWS Config ます。
AWS Config は、リソース内の 2 種類の関係を検出します。
AWS Config は、リソース間の直接的な関係と間接的な関係を区別します。リソースが他のリソースのDescribe API 呼び出しで返された場合、それらのリソースは直接的な関係として記録されます。別のリソースとの直接的な関係でリソースを変更しても、 AWS Config は両方のリソースの CI を作成しません。
たとえば、Amazon EC2 インスタンスを作成し、API でネットワークインターフェイスを作成する必要がある場合、 AWS Config では、Amazon EC2 インスタンスはネットワークインターフェイスと直接的な関係があると見なされます。その結果、 は CI を 1 つだけ AWS Config 生成します。
AWS Config は、間接的な関係であるリソース関係の個別の変更を記録します。例えば、セキュリティグループを作成し、セキュリティグループの一部である関連付けられた Amazon EC2 インスタンスを追加すると、 は 2 つの CIs AWS Config を生成します。
直接的な関係と間接的な関係の詳細については、「リソースに関する直接的な関係と間接的な関係とは何ですか?」を参照してください。
リソース関係のリストは、 AWS Config ドキュメントに記載されています。
