によるリソースの変更のモニタリング AWS Config - AWS Control Tower
登録済みアカウントの AWS Config レコーダーデータを表示するAWS Control Tower AWS Config でのトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

によるリソースの変更のモニタリング AWS Config

AWS Control Tower は、すべての登録済みアカウント AWS Config で を有効にし、検出コントロールによるコンプライアンスのモニタリング、リソースの変更の記録、ログアーカイブアカウントへのリソース変更ログの配信を可能にします。

ランディングゾーンのバージョンが 3.0 より前の場合: 登録済みアカウントの場合、 は、アカウントが動作する AWS Config すべてのリージョンのリソースへのすべての変更を記録します。各変更は、リソース識別子、リージョン、各変更が記録された日付、および変更が既知のリソースまたは新しく検出されたリソースに関連するかどうかなどの情報を含む構成項目 (CI) としてモデル化されます。

ランディングゾーンバージョンが 3.0 以降の場合: AWS Control Tower は、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルリソースの記録をホームリージョンのみに制限します。グローバルリソースの変更のコピーは、すべてのリージョンに保存されるわけではありません。このリソース記録の制限は、 AWS Config のベストプラクティスに準拠しています。グローバルリソースの完全なリストは、 AWS Config ドキュメントに記載されています。

AWS Control Tower は、登録されたすべてのアカウントに AWS Config 配信チャネルを設定します。この配信チャネルを通じて、 AWS Config によって記録されたすべての変更をログアーカイブアカウントに記録し、Amazon Simple Storage Service バケットのフォルダに保存されます。

登録済みアカウントの AWS Config レコーダーデータを表示する

AWS Config は と統合 CloudWatch されているため、ダッシュボードで AWS Config CIsを表示できます。詳細については、「 が AWS Config Amazon CloudWatch メトリクス をサポート」というタイトルのブログ記事を参照してください。

プログラムで AWS Config データを表示するには、 AWS CLI を使用するか、他の AWS ツールを使用できます。

特定のリソースの AWS Config レコーダーデータをクエリする

AWS CLI を使用して、リソースの最新の変更のリストを取得できます。

リソース履歴コマンド:

  • aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

詳細については、get-config-history の API ドキュメントを参照してください。

Amazon で AWS Config データを視覚化する QuickSight

組織全体の によって記録されたリソース AWS Config を視覚化してクエリできます。詳細については、「Amazon Athena と Amazon を使用した AWS Config データの視覚化 QuickSight」を参照してください。

AWS Control Tower AWS Config でのトラブルシューティング

このセクションでは、AWS Control Tower AWS Config で を使用するときに発生する可能性のあるいくつかの問題について説明します。

高額 AWS Config なコスト

ワークフローにリソースを頻繁に作成、更新、または削除するプロセスが含まれている場合、またはリソースを大量に処理する場合、そのワークフローによって多数の CI が生成されることが考えられます。非本番アカウントでこれらのプロセスを実行する場合、アカウントの登録解除を検討してください。そのアカウントの AWS Config レコーダーを手動で非アクティブ化する必要がある場合があります。

注記

アカウントの登録を解除すると、AWS Control Tower は、そのアカウントのリソースに対して検出コントロールを強制したり、 AWS Config アクティビティなどのアカウントイベントをログに記録したりすることはできません。

アカウントの管理解除について詳細は、登録済みアカウントの管理を解除するを参照してください。 AWS Config レコーダーを非アクティブ化する方法については、「設定レコーダーの管理」を参照してください。

同じリソースが複数回記録されている

そのリソースがグローバルリソースかどうかをチェックします。バージョン 3.0 より前の AWS Control Tower ランディングゾーンでは、 AWS Config が動作しているリージョンごとに特定のグローバルリソースを 1 回記録 AWS Config できます。例えば、 AWS Config が 8 つのリージョンで有効になっている場合、各ロールは 8 回記録されます。

以下のリソースは、 AWS Config が運用しているリージョンごとに 1 回記録されます。

  • AWS::IAM::Group

  • AWS::IAM::Policy

  • AWS::IAM::Role

  • AWS::IAM::User

他のグローバルリソースは 1 回のみ記録されます。1 回記録されたリソースの例を次に示します。

  • AWS::Route53::HostedZone

  • AWS::Route53::HealthCheck

  • AWS::ECR::PublicRepository

  • AWS::GlobalAccelerator::Listener

  • AWS::GlobalAccelerator::EndpointGroup

  • AWS::GlobalAccelerator::Accelerator

AWS Config はリソースを記録しませんでした

特定のリソースは、他のリソースと依存関係があります。これらの関係は、直接的または間接的です。非推奨の間接的な関係のリストは、AWS Config「よくある質問」を参照してください。