でリソースの変更をモニタリングする AWS Config - AWS Control Tower
登録済みアカウントの AWS Config レコーダーデータを表示するAWS Control Tower AWS Config でのトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でリソースの変更をモニタリングする AWS Config

AWS Control Tower は、すべての登録済みアカウント AWS Config で を有効にするため、検出コントロールによるコンプライアンスのモニタリング、リソースの変更の記録、ログアーカイブアカウントへのリソース変更ログの配信を行うことができます。

ランディングゾーンのバージョンが 3.0 より前の場合: 登録済みアカウントの場合、 はアカウントが動作するすべてのリージョンのリソースに対するすべての変更を AWS Config ログに記録します。各変更は、リソース識別子、リージョン、各変更が記録された日付、および変更が既知のリソースまたは新しく検出されたリソースに関連するかどうかなどの情報を含む構成項目 (CI) としてモデル化されます。

ランディングゾーンバージョンが 3.0 以降の場合: AWS Control Tower は、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーなどのグローバルリソースの記録をホームリージョンのみに制限します。グローバルリソースの変更のコピーは、すべてのリージョンに保存されるわけではありません。このリソース記録の制限は、 AWS Config ベストプラクティスに準拠しています。グローバルリソースの完全なリストは、 AWS Config ドキュメントで入手できます。

AWS Control Tower は、すべての登録済みアカウントに AWS Config 配信チャネルを設定します。この配信チャネルを通じて、 AWS Config によってログアーカイブアカウントに記録されたすべての変更がログに記録され、Amazon Simple Storage Service バケットのフォルダに保存されます。

登録済みアカウントの AWS Config レコーダーデータを表示する

AWS Config は CloudWatch と統合されているため、ダッシュボードで AWS Config CIsを表示できます。詳細については、「AWS Config が Amazon CloudWatch のメトリクスをサポート」というタイトルのブログ投稿を参照してください。

プログラムで AWS Config データを表示するには、 CLI AWS を使用するか、他の AWS ツールを使用できます。

特定のリソースの AWS Config レコーダーデータをクエリする

CLI AWS を使用して、リソースの最新の変更のリストを取得できます。

リソース履歴コマンド:

  • aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

詳細については、get-config-history の API ドキュメントを参照してください。

Amazon QuickSight で AWS Config データを視覚化する

組織全体で によって記録されたリソース AWS Config を視覚化してクエリできます。詳細については、Amazon Athena と Amazon QuickSight を使用した AWS Config データの視覚化」を参照してください。

AWS Control Tower AWS Config でのトラブルシューティング

このセクションでは、AWS Control Tower AWS Config で を使用する際に発生する可能性のあるいくつかの問題について説明します。

高 AWS Config コスト

ワークフローにリソースを頻繁に作成、更新、または削除するプロセスが含まれている場合、またはリソースを大量に処理する場合、そのワークフローによって多数の CI が生成されることが考えられます。非本番アカウントでこれらのプロセスを実行する場合、アカウントの登録解除を検討してください。そのアカウントの AWS Config レコーダーを手動で非アクティブ化する必要がある場合があります。

注記

アカウントを登録解除すると、AWS Control Tower はそのアカウントのリソースに対して検出コントロールを適用したり、 AWS Config アクティビティなどのアカウントイベントをログに記録したりできなくなります。

アカウントの管理解除について詳細は、登録済みアカウントの管理を解除するを参照してください。 AWS Config レコーダーを非アクティブ化する方法については、「設定レコーダーの管理」を参照してください。

同じリソースが複数回記録されている

そのリソースがグローバルリソースかどうかをチェックします。バージョン 3.0 より前の AWS Control Tower ランディングゾーンでは、 AWS Config が動作しているリージョンごとに特定のグローバルリソースを 1 回記録 AWS Config できます。例えば、 AWS Config が 8 つのリージョンで有効になっている場合、各ロールは 8 回記録されます。

以下のリソースは、 AWS Config が動作しているリージョンごとに 1 回記録されます。

  • AWS::IAM::Group

  • AWS::IAM::Policy

  • AWS::IAM::Role

  • AWS::IAM::User

他のグローバルリソースは 1 回のみ記録されます。1 回記録されたリソースの例を次に示します。

  • AWS::Route53::HostedZone

  • AWS::Route53::HealthCheck

  • AWS::ECR::PublicRepository

  • AWS::GlobalAccelerator::Listener

  • AWS::GlobalAccelerator::EndpointGroup

  • AWS::GlobalAccelerator::Accelerator

AWS Config はリソースを記録しませんでした

特定のリソースは、他のリソースと依存関係があります。これらの関係は、直接的または間接的です。非推奨の間接的な関係のリストは、 FAQ AWS Configに記載されています。