AWS Config のワンクリックセットアップ - AWS Config
ステップ 1: 設定ステップ 2: ルールステップ 3: 確認

AWS Config のワンクリックセットアップ

AWS Config ワンクリックセットアップは、手動による選択数を減らして、AWS Config コンソールの導入プロセスを簡略化するのに役立ちます。セットアッププロセスのすべての手動選択を確認するには、「「手動セットアップ」を参照してください。

ワンクリックセットアップを使用して AWS Config コンソールをセットアップするには

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. [1-click setup] (ワンクリックセットアップ) を選択します。

セットアップページには 3 つのステップが含まれていますが、[1-click setup] (ワンクリックセットアップ) ワークフローでは、自動的にステップ 3 (レビュー) に誘導されます。次に、その手順の内訳を示します。

  • 設定: コンソールがリソースとロールを記録する方法を選択し、設定履歴と設定スナップショットファイルの送信先を選択します。

  • ルール: ルールをサポートしている AWS リージョン の場合、このステップでアカウントに追加できる初期マネージドルールを設定できます。設定後に、AWS Config は選択されたルールを適用して AWS リソースを評価します。追加のルールの作成や、既存のルールの更新は、設定後にアカウントで行うことができます。

  • 確認: 設定の詳細を確認します。

ステップ 1: 設定

記録方法

[カスタマイズ可能なオーバーライドを持つすべてのリソースタイプ] でを記録するオブジェクトが選択されています。AWS Config は、このリージョンでサポートされている現在および将来のすべてのリソースを記録します。詳細については、[サポートされるリソースタイプ] を参照してください。

  • デフォルト設定

    デフォルトの記録頻度は [連続] に設定されています。つまり、変更が発生するたびに、AWS Config は設定変更を継続的に記録します。

    AWS Config は記録頻度を [日時] に設定するオプションもサポートしています。設定した後、このオプションを選択した場合、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を、受け取ります。詳細については、「Recording Frequency」を参照してください。

    注記

    AWS Firewall Manager は継続的な記録に基づいてリソースのモニタリングを行います。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

  • オーバーライド設定 - オプション

    設定した後、オプションで特定のリソースタイプの記録頻度を上書きしたり、特定のリソースタイプを記録から除外したりできます。デフォルト設定をオーバーライドするには、AWS Config コンソールの左のナビゲーションで [設定] を選択し、[編集] を選択します。

リソースを記録する際の考慮事項

AWS Config 評価数が多い

AWS Config で記録した最初の月のアカウントアクティビティが、その後の月と比較して増加していることに気付くかもしれません。最初のブートストラッププロセス中に、AWS Config は、AWS Config の記録対象として選択したアカウント内のすべてのリソースに対して評価を実行します。

一時的なワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling があります。一時的なワークロードの実行によるアクティビティの増加を避けたい場合は、これらのリソースタイプを記録から除外するよう設定レコーダーを設定するか、または AWS Config をオフにした別のアカウントでこの種のワークロードを実行し、設定の記録とルール評価の増加を回避することができます。

グローバルリソースタイプ | Aurora グローバルクラスターは、最初は記録に含められます

AWS::RDS::GlobalCluster リソースタイプは、設定レコーダーが有効で、サポートされているすべての AWS Config リージョンで記録されます。

有効なすべてのリージョンで AWS::RDS::GlobalCluster を記録しない場合、設定後にこのリソースタイプを記録から除外できます。左のナビゲーションバーで、[設定] を選択し、[編集] を選択します。[編集] から、[記録方法] セクションの[オーバーライド設定] を選択し、AWS::RDS::GlobalCluster を選択してら、「記録から除外」のオーバーライドを選択します。

グローバルリソースタイプ | IAM リソースタイプは、最初は記録から除外されます。

コスト削減のため、「グローバルに記録されたすべての IAM リソースタイプ」は、最初は記録から除外されます。このバンドルには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。[削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。

さらに、グローバル IAM リソースタイプ (AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role、および AWS::IAM::Policy) は、2022 年 2 月より後に AWS Config がサポートされるリージョンでは記録できません。これらのリージョンのリストについては、「Recording AWS Resources | Global Resources」を参照してください。

データガバナンス

このセクションでは、AWS Config データを保持するデフォルトのデータ保持期間として 7 年 (2557 日) が選択されています。

[既存の AWS Config サービスリンクロールを使用する] オプションが選択され、[AWS Config ロール] に設定されています。サービスにリンクされたロールは、AWS Config によって事前に定義されたロールであり、サービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

配信方法

このセクションでは、アカウントからバケットを選択するオプションが選択されています。この選択は、デフォルトで config-bucket-accountid 形式で名前が付けられたアカウントのバケットとなります。例えば、config-bucket-012345678901 と指定します。その形式でバケットを作成していない場合は、自動的に作成されます。独自のバケットを作成する場合、「Amazon Simple Storage Service ユーザーガイド」の「バケットの作成」を参照してください。

S3 バケットの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの概要」を参照してください。

ステップ 2: ルール

AWS マネージド型ルールについては、このステップではルールは選択されていません。アカウントの設定が完了した後にルールを作成および更新することをお勧めします。

ステップ 3: 確認

AWS Config の設定の詳細を確認します。戻って各セクションの変更を編集できます。AWS Config の設定を完了するには、[Confirm] (確認) を選択します。