翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 配信チャネルの使用
は、 AWS リソースに発生した変更 AWS Config を継続的に記録し、*配信チャネル*を介して通知と更新された設定状態を送信します。配信チャネルを管理して、 が設定更新 AWS Config を送信する場所を制御できます。
**Topics**
+ [考慮事項](#dc-considerations)
+ [用語](#dc-terminology)
+ [Components of a Configuration Item](config-item-table.md)
+ [配信チャネルの表示](dc-view.md)
+ [配信チャネルの更新](update-dc-console.md)
+ [配信チャネルの名前変更](update-dc-rename.md)
+ [設定スナップショットを配信する](deliver-snapshot-cli.md)
+ [配信ステータスを確認する](verify-delivery-status.md)
+ [設定スナップショットの表示](view-configuration-snapshot.md)
+ [設定スナップショットの例](example-s3-snapshot.md)
+ [通知の例](notifications-for-AWS-Config.md)
## 考慮事項
**各アカウントのリージョンごとに 1 つの配信チャネル**
AWS リージョンごとにリージョンごとに 1 つの配信チャネルのみを持つことができ AWS アカウント、配信チャネルを使用する必要があります AWS Config。
**オーバーサイズの設定項目通知には、簡単な概要が含まれます**
がリソースの設定変更 AWS Config を検出し、通知が Amazon SNS で許可されている最大サイズを超えると、通知には設定項目の概要が含まれます。通知の全詳細は、`s3BucketLocation` フィールドで指定した Amazon S3 バケット内に表示されています。詳細については、[[サイズが大きすぎる設定項目の変更に関する通知の例](https://docs.aws.amazon.com/config/latest/developerguide/oversized-notification-example.html)] を参照してください。
**AWS Config が使用する Amazon S3 バケットの AWS KMS 暗号化をサポート AWS Config**
AWS Key Management Service (AWS KMS) キーまたはエイリアス Amazon リソースネーム (ARN) を指定して、Amazon Simple Storage Service (Amazon S3) バケットに配信されるデータを暗号化できます。デフォルトでは、 は設定履歴とスナップショットファイルを Amazon S3 バケットに AWS Config 配信し、S3 AES-256 サーバー側の暗号化 SSE-S3 を使用して保管中のデータを暗号化します。ただし、 AWS Config に KMS キーまたはエイリアス ARN を指定した場合、 は AES-256 暗号化の代わりにその KMS キー AWS Config を使用します。
AWS Config は、オブジェクトロックが有効になっていてデフォルトの保持が有効になっている Amazon S3 バケットへの配信チャネルをサポートしていません。詳細については、[[How S3 Object Lock works (S3 オブジェクトロックの使い方)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html)] を参照してください。
## 用語
*設定項目は*、アカウントに存在するサポートされている AWS リソースのさまざまな属性のpoint-in-timeビューを表します。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントが含まれます。 は、記録するリソースタイプへの変更を検出するたびに設定項目 AWS Config を作成します。たとえば、 AWS Config が Amazon S3 バケットを記録する場合、 はバケットが作成、更新、または削除されるたびに設定項目 AWS Config を作成します。 AWS Config に を選択して、設定した記録頻度で設定項目を作成することもできます。
設定履歴**は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。 は、記録される各リソースタイプの設定履歴ファイルを、指定した Amazon S3 バケット AWS Config に自動的に配信します。 AWS Config コンソールで特定のリソースを選択し、タイムラインを使用してそのリソースの以前のすべての設定項目に移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。
設定スナップショット**は、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
*設定ストリーム*は、記録するリソースのすべての設定項目の自動更新リスト AWS Config です。リソースが作成、変更、または削除されるたびに、 AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームは、潜在的な問題を特定したり、特定のリソースが変更された場合に通知を生成したり、 AWS リソースの設定を反映する必要がある外部システムを更新したりできるように、設定変更が発生したときに監視するのに役立ちます。
# 設定項目のコンポーネント
設定項目**は、アカウント内のサポートされている AWS リソースのさまざまな属性を特定の時点で反映したビューです。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントなどが含まれます。AWS Config は、記録対象のリソースタイプで変更を検出するたびに、設定項目を作成します。例えば、AWS Config が Amazon S3 バケットを記録している場合、AWS Config はバケットの作成、更新、削除が行われるたびに設定項目を作成します。AWS Config に選択して、設定した記録頻度で設定項目を作成することもできます。
設定項目は以下のコンポーネントで構成されます。
****
| コンポーネント | 説明 | を含む |
| --- | --- | --- |
| メタデータ | この設定項目に関する情報 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-item-table.html) |
| 属性 | リソース属性 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-item-table.html) |
| 関係 | このリソースと、アカウントに関連付けられた他のリソースとの関係 | 関係の説明 (Amazon EBS ボリューム vol-1234567 は Amazon EC2 インスタンス i-a1b2c3d4 にアタッチされているなど) |
| 現行の設定 | リソースの Describe または List の API 呼び出しを通じて返される情報 | 例えば、DescribeVolumes API はボリュームに関する以下の情報を返します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-item-table.html) |
**メモ**
1. 設定項目の関係には、ネットワークフローやデータフローの依存関係は含まれません。アプリケーションアーキテクチャを反映するように設定項目をカスタマイズすることはできません。
1. バージョン 1.3 では、relatedEvents フィールドは空です。リソースのイベントを取得する方法については、*AWS CloudTrail API リファレンス*の [LookupEvents API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) を参照してください。
1. バージョン 1.3 では、configurationItemMD5Hash フィールドは空です。configurationStateId フィールドを使用すると、最新の設定項目があることを確認できます。
1. リソースタイプがタグ付けをサポートしていない場合、または describe API レスポンスにタグ情報が含まれていない場合、AWS Config はそのリソースタイプの設定項目 (CI) にタグデータをキャプチャしません。AWS Config はこれらのリソースを引き続き記録します。ただし、タグデータに依存する機能は動作しません。これは、タグデータに依存するタグベースのフィルタリング、グループ化、またはコンプライアンス評価に影響します。
# 配信チャネルの表示
配信チャネルの詳細を表示するにはAWS CLI、 を使用する必要があります。
次のサンプルコードは、`DescribeDeliveryChannels` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**配信チャネルの詳細を取得するには**
次のコマンドは、配信チャネルに関する詳細を返します。
```
aws configservice describe-delivery-channels
```
出力:
```
{
"DeliveryChannels": [
{
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
+ API の詳細については、「*AWS CLIコマンドリファレンス*」の「[DescribeDeliveryChannels](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-delivery-channels.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: この例では、リージョンの配信チャネルを取得し、詳細を表示します。**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**出力:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ API の詳細については、「*AWS Tools for PowerShellコマンドレットリファレンス (V4)*」の「[DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: この例では、リージョンの配信チャネルを取得し、詳細を表示します。**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**出力:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ API の詳細については、「*AWS Tools for PowerShellコマンドレットリファレンス (V5)*」の「[DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
# 配信チャネルの更新
配信チャネルを更新する場合は、以下のオプションを設定できます。
+ が設定スナップショットと設定履歴ファイル AWS Config を送信する Amazon S3 バケット。
+ が Amazon S3 バケットに設定スナップショット AWS Config を配信する頻度。
+ が設定変更に関する通知 AWS Config を送信する Amazon SNS トピック。
## 配信チャネルを更新するには (コンソール)
AWS Config コンソールを使用して、配信チャネルの Amazon S3 バケットと Amazon SNS トピックを設定できます。これらの設定を管理する手順については、[[コンソールによる AWS Config の設定](gs-console.md)] を参照してください。
コンソールには、配信チャネルの名前変更、設定スナップショットの頻度の設定、または配信チャネルの削除のオプションはありません。これらのタスクを実行するには、、 AWS Config API AWS CLI、またはいずれかの AWS SDKsを使用する必要があります。
## 配信チャネル (AWS SDKsを更新するには
次のサンプルコードは、`PutDeliveryChannel` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**配信チャネルを作成するには**
次のコマンドは、配信チャネルの設定を JSON コードとして提供します。
```
aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
```
`deliveryChannel.json` ファイルは、配信チャネルの属性を指定します。
```
{
"name": "default",
"s3BucketName": "config-bucket-123456789012",
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
}
}
```
この例では以下の属性を設定します。
`name` - 配信チャネルの名前です。デフォルトでは、 AWS Config は新しい配信チャネル`default`に名前を割り当てます。 `put-delivery-channel` コマンドを使用して配信チャネル名を更新することはできません。名前を変更する手順については、「配信チャネルの名前変更」を参照してください。`s3BucketName`- Config が設定スナップショットと設定履歴ファイルを配信する Amazon S3 AWS バケットの名前。別の AWS アカウントに属するバケットを指定する場合、そのバケットには Config AWS にアクセス許可を付与するポリシーが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。
`snsTopicARN` - Config が設定変更に関する通知を送信する Amazon SNS トピックの Amazon リソースネーム (ARN)。別のアカウントからトピックを選択した場合、トピックには Config AWS にアクセス許可を付与するポリシーが必要です。 AWS 詳細については、「Permissions for the Amazon SNS Topic」を参照してください。
`configSnapshotDeliveryProperties` - Config が設定スナップショットを配信する頻度と、定期的な Config AWS ルールの評価を呼び出す頻度を設定する `deliveryFrequency` 属性が含まれます。
コマンドが成功すると、 AWS Config は出力を返しません。配信チャネルの設定を確認するには、describe-delivery-channels コマンドを実行します。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[PutDeliveryChannel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/put-delivery-channel.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: この例では、既存の配信チャネルの deliveryFrequency プロパティを変更します。**
```
Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[PutDeliveryChannel](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: この例では、既存の配信チャネルの deliveryFrequency プロパティを変更します。**
```
Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5)*」の「[PutDeliveryChannel](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
設定を記録して配信チャネルに配信するためのアクセス許可を [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html) に付与するポリシーを新しいロールにアタッチする必要があります。
```
$ aws configservice describe-delivery-channels
{
"DeliveryChannels": [
{
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
},
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
次のサンプルコードは、`DescribeDeliveryChannels` を使用する方法を説明しています。
------
#### [ CLI ]
**AWS CLI**
**配信チャネルの詳細を取得するには**
次のコマンドは、配信チャネルに関する詳細を返します。
```
aws configservice describe-delivery-channels
```
出力:
```
{
"DeliveryChannels": [
{
"snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[DescribeDeliveryChannels](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/describe-delivery-channels.html)」を参照してください。
------
#### [ PowerShell ]
**Tools for PowerShell V4**
**例 1: この例では、リージョンの配信チャネルを取得し、詳細を表示します。**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**出力:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V4)*」の「[DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v4/reference)」を参照してください。
**Tools for PowerShell V5**
**例 1: この例では、リージョンの配信チャネルを取得し、詳細を表示します。**
```
Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}
```
**出力:**
```
Name S3BucketName S3KeyPrefix DeliveryFrequency
---- ------------ ----------- -----------------
default config-bucket-NA my TwentyFour_Hours
```
+ API の詳細については、「*AWS Tools for PowerShell コマンドレットリファレンス (V5)*」の「[DescribeDeliveryChannels](https://docs.aws.amazon.com/powershell/v5/reference)」を参照してください。
------
# 配信チャネルの名前変更
配信チャネルの名前を変更するには、まず現在の配信チャネルを削除し、次に指定した名前で作り直す必要があります。配信チャネルを削除する前に、一時的に設定レコーダーを停止する必要があります。 AWS Config コンソールには、配信チャネルを削除するオプションはありません。CLI、 AWS Config API、またはいずれかの AWS SDKs AWS を使用する必要があります。
**を使用した配信チャネルの名前変更 AWS CLI**
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/stop-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/stop-configuration-recorder.html)コマンドを使用して設定レコーダーを停止します。
```
$ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName
```
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channels.html)コマンドを使用して配信チャネルの属性を書き留めます。
```
$ aws configservice describe-delivery-channels
{
"DeliveryChannels": [
{
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
},
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"name": "default",
"s3BucketName": "config-bucket-123456789012"
}
]
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/delete-delivery-channel.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/delete-delivery-channel.html)コマンドを使用して配信チャネルを削除します。
```
$ aws configservice delete-delivery-channel --delivery-channel-name default
```
1. [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-delivery-channel.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-delivery-channel.html)コマンドを使用して、新しい名前で配信チャネルを作成します。
```
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
```
deliveryChannel.json ファイルは、配信チャネルの属性を指定します。
```
{
"name": "myCustomDeliveryChannelName",
"s3BucketName": "config-bucket-123456789012",
"snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
"configSnapshotDeliveryProperties": {
"deliveryFrequency": "Twelve_Hours"
}
}
```
1. `start-configuration-recorder` コマンドを使用して記録を再開します。
```
$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
```
# Amazon S3 バケットへの設定スナップショットの配信
設定スナップショット**は、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
## 設定スナップショットを配信する
AWS Config [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) アクションを呼び出すか、 AWS CLI `deliver-config-snapshot` コマンドを実行すると、 は設定スナップショットを生成します。 は、有効にしたときに指定した Amazon S3 バケットに設定スナップショット AWS Config を保存します AWS Config。
配信チャネルを設定 AWS Config したときに によって割り当てられた名前を指定して、 [https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) コマンドを入力します。次に例を示します。
```
$ aws configservice deliver-config-snapshot --delivery-channel-name default
{
"configSnapshotId": "94ccff53-83be-42d9-996f-b4624b3c1a55"
}
```
# 配信ステータスを確認する
[https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channel-status.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/describe-delivery-channel-status.html) コマンドを入力して、 AWS Config が指定された配信チャネルへの設定の配信を開始したことを確認します。
```
aws configservice describe-delivery-channel-status
```
レスポンスには、 AWS Config が設定をバケットとトピックに配信するために使用する 3 つの配信形式すべてのステータスが一覧表示されます。
```
{
"DeliveryChannelsStatus": [
{
"configStreamDeliveryInfo": {
"lastStatusChangeTime": 1415138614.125,
"lastStatus": "SUCCESS"
},
"configHistoryDeliveryInfo": {
"lastSuccessfulTime": 1415148744.267,
"lastStatus": "SUCCESS",
"lastAttemptTime": 1415148744.267
},
"configSnapshotDeliveryInfo": {
"lastSuccessfulTime": 1415333113.4159999,
"lastStatus": "SUCCESS",
"lastAttemptTime": 1415333113.4159999
},
"name": "default"
}
]
}
```
`configSnapshotDeliveryInfo` で `lastSuccessfulTime` フィールドを表示します。時刻は、前回に設定スナップショットの配信をリクエストした時刻と一致する必要があります。
**注記**
AWS Config は UTC 形式 (協定世界時) を使用して時刻を記録します。
# Amazon S3 バケットの設定スナップショットの表示
設定スナップショット**は、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。さらに、 AWS Config コンソールでポイントインタイムを選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
## 設定スナップショットの表示
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) で Amazon S3 コンソールを開きます。
1. Amazon S3 コンソールの **[すべてのバケット]** リストで、Amazon S3 バケットの名前を選択します。
1. バケット内のネストされたフォルダをすべて確認して、コマンドから返された ID と一致するスナップショット ID の `ConfigSnapshot` オブジェクトを表示します。オブジェクトをダウンロードして開き、設定スナップショットを表示します。S3 バケットには、 という名前の空のファイルも含まれています`ConfigWritabilityCheckFile`。 はこのファイル AWS Config を作成して、サービスが S3 バケットに正常に書き込めることを確認します。
# からの設定スナップショットの例 AWS Config
以下は、 が設定スナップショット AWS Config に含める情報の例です。スナップショットは、 の現在のリージョンで記録 AWS Config しているリソースの設定と AWS アカウント、これらのリソース間の関係を記述します。
**注記**
設定スナップショットには、サポートされていないリソースタイプとリソース ID への参照を含めることができます。
```
{
"fileVersion": "1.0",
"requestId": "asudf8ow-4e34-4f32-afeb-0ace5bf3trye",
"configurationItems": [
{
"configurationItemVersion": "1.0",
"resourceId": "vol-ce676ccc",
"arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
"accountId": "12345678910",
"configurationItemCaptureTime": "2014-03-07T23:47:08.918Z",
"configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a",
"configurationItemStatus": "OK",
"relatedEvents": [
"06c12a39-eb35-11de-ae07-adb69edbb1e4",
"c376e30d-71a2-4694-89b7-a5a04ad92281"
],
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Volume",
"resourceCreationTime": "2014-02-27T21:43:53.885Z",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::Instance",
"name": "Attached to Instance"
}
],
"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-27T21:43:53.0885+0000",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
],
"tags": [
{
"tagName": "environment",
"tagValue": "PROD"
},
{
"tagName": "name",
"tagValue": "DataVolume1"
}
],
"volumeType": "standard"
}
},
{
"configurationItemVersion": "1.0",
"resourceId": "i-344c463d",
"accountId": "12345678910",
"arn": "arn:aws:ec2:us-west-2b:123456789012:instance/i-344c463d",
"configurationItemCaptureTime": "2014-03-07T23:47:09.523Z",
"configurationStateID": "cdb571fa-ce7a-4ec5-8914-0320466a355e",
"configurationItemStatus": "OK",
"relatedEvents": [
"06c12a39-eb35-11de-ae07-adb69edbb1e4",
"c376e30d-71a2-4694-89b7-a5a04ad92281"
],
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Instance",
"resourceCreationTime": "2014-02-26T22:56:35.000Z",
"tags": {
"Name": "integ-test-1",
"examplename": "examplevalue"
},
"relationships": [
{
"resourceId": "vol-ce676ccc",
"resourceType": "AWS::EC2::Volume",
"name": "Attached Volume"
},
{
"resourceId": "vol-ef0e06ed",
"resourceType": "AWS::EC2::Volume",
"name": "Attached Volume",
"direction": "OUT"
},
{
"resourceId": "subnet-47b4cf2c",
"resourceType": "AWS::EC2::SUBNET",
"name": "Is contained in Subnet",
"direction": "IN"
}
],
"configuration": {
"instanceId": "i-344c463d",
"imageId": "ami-ccf297fc",
"state": {
"code": 16,
"name": "running"
},
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"stateTransitionReason": "",
"keyName": "configDemo",
"amiLaunchIndex": 0,
"productCodes": [],
"instanceType": "t1.micro",
"launchTime": "2014-02-26T22:56:35.0000+0000",
"placement": {
"availabilityZone": "us-west-2b",
"groupName": "",
"tenancy": "default"
},
"kernelId": "aki-fc8f11cc",
"monitoring": {
"state": "disabled"
},
"subnetId": "subnet-47b4cf2c",
"vpcId": "vpc-41b4cf2a",
"privateIpAddress": "172.31.21.63",
"publicIpAddress": "54.218.4.189",
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/sda1",
"blockDeviceMappings": [
{
"deviceName": "/dev/sda1",
"ebs": {
"volumeId": "vol-ef0e06ed",
"status": "attached",
"attachTime": "2014-02-26T22:56:38.0000+0000",
"deleteOnTermination": true
}
},
{
"deviceName": "/dev/sdf",
"ebs": {
"volumeId": "vol-ce676ccc",
"status": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
}
],
"virtualizationType": "paravirtual",
"clientToken": "aBCDe123456",
"tags": [
{
"key": "Name",
"value": "integ-test-1"
},
{
"key": "examplekey",
"value": "examplevalue"
}
],
"securityGroups": [
{
"groupName": "launch-wizard-2",
"groupId": "sg-892adfec"
}
],
"sourceDestCheck": true,
"hypervisor": "xen",
"networkInterfaces": [
{
"networkInterfaceId": "eni-55c03d22",
"subnetId": "subnet-47b4cf2c",
"vpcId": "vpc-41b4cf2a",
"description": "",
"ownerId": "12345678910",
"status": "in-use",
"privateIpAddress": "172.31.21.63",
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"sourceDestCheck": true,
"groups": [
{
"groupName": "launch-wizard-2",
"groupId": "sg-892adfec"
}
],
"attachment": {
"attachmentId": "eni-attach-bf90c489",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2014-02-26T22:56:35.0000+0000",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.218.4.189",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [
{
"privateIpAddress": "172.31.21.63",
"privateDnsName": "ip-172-31-21-63.us-west-2.compute.internal",
"primary": true,
"association": {
"publicIp": "54.218.4.189",
"publicDnsName": "ec2-54-218-4-189.us-west-2.compute.amazonaws.com",
"ipOwnerId": "amazon"
}
}
]
}
],
"ebsOptimized": false
}
}
]
}
```
次のステップでは、設定スナップショットが配信チャネルに正常に配信されたことを確認します。
# Amazon SNS トピック AWS Config に送信する通知
**注記**
AWS Config が Amazon SNS トピックに通知を送信する前に、まず設定レコーダーと配信チャネルを設定する必要があります。詳細については、「[設定レコーダーの管理](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」および「[配信チャネルの管理](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)」を参照してください。
設定の変更と通知 AWS Config を Amazon SNS トピックにストリーミングするように を設定できます。例えば、リソースの更新時に E メールアドレスに通知が送信されれば、変更を確認できます。が リソースに対してカスタムルールまたはマネージドルール AWS Config を評価するときに通知を受け取ることもできます。詳細については、[「 でのログ記録とモニタリング AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-logging-and-monitoring.html)」を参照してください。
AWS Config は、次のイベントの通知を送信します。
+ リソースの設定項目の変更。
+ リソースの設定履歴がアカウントに配信された。
+ 記録対象のリソースの設定スナップショットがアカウントで起動および配信された。
+ リソースのコンプライアンス状態とリソースがルールに準拠するかどうか。
+ リソースに対してルールの評価が開始された。
+ AWS Config は通知をアカウントに配信できませんでした。
**Topics**
+ [設定項目の変更の通知例](example-sns-notification.md)
+ [設定履歴の配信通知の例](example-configuration-history-notification.md)
+ [設定スナップショットの配信開始の通知例](example-configuration-snapshot-notification-started.md)
+ [設定スナップショットの配信通知の例](example-configuration-snapshot-notification.md)
+ [コンプライアンス変更の通知の例](example-config-rule-compliance-notification.md)
+ [ルールの評価開始の通知例](config-rules-evaluation-started.md)
+ [サイズが大きすぎる設定項目の変更の通知例](oversized-notification-example.md)
+ [配信失敗の通知の例](notification-delivery-failed.md)
# 設定項目の変更の通知例
AWS Config は Amazon SNS を使用してサブスクリプションエンドポイントに通知を配信します。これらの通知は、設定スナップショットと設定履歴の配信ステータスを提供し、記録された AWS リソースの設定が変更されたときに が AWS Config 作成する各設定項目を提供します。 AWS Config は、リソースがルールに準拠しているかどうかを示す通知も送信します。通知を E メールで送信することを選択した場合は、E メールクライアントアプリケーションで E メールの件名とメッセージ本文にフィルタを適用できます。
次の例は、Amazon Elastic Block Store ボリューム `vol-ce676ccc` が `i-344c463d` を ID とするインスタンスにアタッチされていることを AWS Config が検出した場合に生成される Amazon SNS 通知のペイロードを示しています。通知には、リソースの設定品目の変更が含まれています。
```
{
"Type": "Notification",
"MessageId": "8b945cb0-db34-5b72-b032-1724878af488",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:example",
"Message": {
"MessageVersion": "1.0",
"NotificationCreateTime": "2014-03-18T10:11:00Z",
"messageType": "ConfigurationItemChangeNotification",
"configurationItem": [
{
"configurationItemVersion": "1.0",
"configurationItemCaptureTime": "2014-03-07T23:47:08.918Z",
"arn": "arn:aws:us-west-2b:123456789012:volume/vol-ce676ccc",
"resourceId": "vol-ce676ccc",
"awsAccountId": "123456789012",
"configurationStateID": "3e660fdf-4e34-4f32-afeb-0ace5bf3d63a",
"configurationItemStatus": "OK",
"relatedEvents": [],
"availabilityZone": "us-west-2b",
"resourceType": "AWS::EC2::VOLUME",
"resourceCreationTime": "2014-02-27T21:43:53.885Z",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::INSTANCE",
"name": "Attached to Instance"
}
],
"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-27T21:43:53.0885+0000",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-07T23:46:28.0000+0000",
"deleteOnTermination": false
}
],
"tags": [],
"volumeType": "standard"
}
}
],
"configurationItemDiff": {
"changeType": "UPDATE",
"changedProperties": {
"Configuration.State": {
"previousValue": "available",
"updatedValue": "in-use",
"changeType": "UPDATE"
},
"Configuration.Attachments.0": {
"updatedValue": {
"VolumeId": "vol-ce676ccc",
"InstanceId": "i-344c463d",
"Device": "/dev/sdf",
"State": "attached",
"AttachTime": "FriMar0723: 46: 28UTC2014",
"DeleteOnTermination": "false"
},
"changeType": "CREATE"
}
}
}
},
"Timestamp": "2014-03-07T23:47:10.001Z",
"SignatureVersion": "1",
"Signature": "LgfJNB5aOk/w3omqsYrv5cUFY8yvIJvO5ZZh46/KGPApk6HXRTBRlkhjacnxIXJEWsGI9mxvMmoWPLJGYEAR5FF/+/Ro9QTmiTNcEjQ5kB8wGsRWVrk/whAzT2lVtofc365En2T1Ncd9iSFFXfJchgBmI7EACZ28t+n2mWFgo57n6eGDvHTedslzC6KxkfWTfXsR6zHXzkB3XuZImktflg3iPKtvBb3Zc9iVbNsBEI4FITFWktSqqomYDjc5h0kgapIo4CtCHGKpALW9JDmP+qZhMzEbHWpzFlEzvFl55KaZXxDbznBD1ZkqPgno/WufuxszCiMrsmV8pUNUnkU1TA==",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-e372f8ca30337fdb084e8ac449342c77.pem",
"UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456789012:example:a6859fee-3638-407c-907e-879651c9d143"
}
```
## 関係を持つリソースの設定項目
リソースが他のリソースに関連付けられている場合、そのリソースの変更に伴って複数の設定項目が生じることがあります。次の例は、 がリレーションシップを持つリソースの設定項目 AWS Config を作成する方法を示しています。
1. `i-007d374c8912e3e90` を ID とする EC2 インスタンスがあり、このインスタンスは Amazon EC2 セキュリティグループの `sg-c8b141b4` に関連付けられています。
1. EC2 インスタンスを更新して、セキュリティグループを別のセキュリティグループ `sg-3f1fef43` に変更します。
1. EC2 インスタンスは別のリソースに関連付けられているため、 は次の例のような複数の設定項目 AWS Config を作成します。
この通知には、セキュリティグループの置換に伴う EC2 インスタンスの設定項目の変更が含まれています。
```
{
"Type": "Notification",
"MessageId": "faeba85e-ef46-570a-b01c-f8b0faae8d5d",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::EC2::Instance i-007d374c8912e3e90 Updated in Account 123456789012",
"Message": {
"configurationItemDiff": {
"changedProperties": {
"Configuration.NetworkInterfaces.0": {
"previousValue": {
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-1",
"groupId": "sg-c8b141b4"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
},
"updatedValue": null,
"changeType": "DELETE"
},
"Relationships.0": {
"previousValue": {
"resourceId": "sg-c8b141b4",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
"updatedValue": null,
"changeType": "DELETE"
},
"Configuration.NetworkInterfaces.1": {
"previousValue": null,
"updatedValue": {
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
},
"changeType": "CREATE"
},
"Relationships.1": {
"previousValue": null,
"updatedValue": {
"resourceId": "sg-3f1fef43",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
"changeType": "CREATE"
},
"Configuration.SecurityGroups.1": {
"previousValue": null,
"updatedValue": {
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
},
"changeType": "CREATE"
},
"Configuration.SecurityGroups.0": {
"previousValue": {
"groupName": "example-security-group-1",
"groupId": "sg-c8b141b4"
},
"updatedValue": null,
"changeType": "DELETE"
}
},
"changeType": "UPDATE"
},
"configurationItem": {
"relatedEvents": [],
"relationships": [
{
"resourceId": "eni-fde9493f",
"resourceName": null,
"resourceType": "AWS::EC2::NetworkInterface",
"name": "Contains NetworkInterface"
},
{
"resourceId": "sg-3f1fef43",
"resourceName": null,
"resourceType": "AWS::EC2::SecurityGroup",
"name": "Is associated with SecurityGroup"
},
{
"resourceId": "subnet-2372be7b",
"resourceName": null,
"resourceType": "AWS::EC2::Subnet",
"name": "Is contained in Subnet"
},
{
"resourceId": "vol-0a2d63a256bce35c5",
"resourceName": null,
"resourceType": "AWS::EC2::Volume",
"name": "Is attached to Volume"
},
{
"resourceId": "vpc-14400670",
"resourceName": null,
"resourceType": "AWS::EC2::VPC",
"name": "Is contained in Vpc"
}
],
"configuration": {
"instanceId": "i-007d374c8912e3e90",
"imageId": "ami-9be6f38c",
"state": {
"code": 16,
"name": "running"
},
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"stateTransitionReason": "",
"keyName": "ec2-micro",
"amiLaunchIndex": 0,
"productCodes": [],
"instanceType": "t2.micro",
"launchTime": "2017-01-09T20:13:28.000Z",
"placement": {
"availabilityZone": "us-east-2c",
"groupName": "",
"tenancy": "default",
"hostId": null,
"affinity": null
},
"kernelId": null,
"ramdiskId": null,
"platform": null,
"monitoring": {"state": "disabled"},
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"privateIpAddress": "172.31.16.84",
"publicIpAddress": "54.175.43.43",
"stateReason": null,
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMappings": [{
"deviceName": "/dev/xvda",
"ebs": {
"volumeId": "vol-0a2d63a256bce35c5",
"status": "attached",
"attachTime": "2017-01-09T19:36:03.000Z",
"deleteOnTermination": true
}
}],
"virtualizationType": "hvm",
"instanceLifecycle": null,
"spotInstanceRequestId": null,
"clientToken": "bIYqA1483990561516",
"tags": [{
"key": "Name",
"value": "value"
}],
"securityGroups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"sourceDestCheck": true,
"hypervisor": "xen",
"networkInterfaces": [{
"networkInterfaceId": "eni-fde9493f",
"subnetId": "subnet-2372be7b",
"vpcId": "vpc-14400670",
"description": "",
"ownerId": "123456789012",
"status": "in-use",
"macAddress": "0e:36:a2:2d:c5:e0",
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"sourceDestCheck": true,
"groups": [{
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43"
}],
"attachment": {
"attachmentId": "eni-attach-85bd89d9",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2017-01-09T19:36:02.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddresses": [{
"privateIpAddress": "172.31.16.84",
"privateDnsName": "ip-172-31-16-84.ec2.internal",
"primary": true,
"association": {
"publicIp": "54.175.43.43",
"publicDnsName": "ec2-54-175-43-43.compute-1.amazonaws.com",
"ipOwnerId": "amazon"
}
}]
}],
"iamInstanceProfile": null,
"ebsOptimized": false,
"sriovNetSupport": null,
"enaSupport": true
},
"supplementaryConfiguration": {},
"tags": {"Name": "value"},
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2017-01-09T22:50:14.328Z",
"configurationStateId": 1484002214328,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "i-007d374c8912e3e90",
"resourceName": null,
"ARN": "arn:aws:ec2:us-east-2:123456789012:instance/i-007d374c8912e3e90",
"awsRegion": "us-east-2",
"availabilityZone": "us-east-2c",
"configurationStateMd5Hash": "8d0f41750f5965e0071ae9be063ba306",
"resourceCreationTime": "2017-01-09T20:13:28.000Z"
},
"notificationCreationTime": "2017-01-09T22:50:15.928Z",
"messageType": "ConfigurationItemChangeNotification",
"recordVersion": "1.2"
},
"Timestamp": "2017-01-09T22:50:16.358Z",
"SignatureVersion": "1",
"Signature": "lpJTEYOSr8fUbiaaRNw1ECawJFVoD7I67mIeEkfAWJkqvvpak1ULHLlC+I0sS/01A4P1Yci8GSK/cOEC/O2XBntlw4CAtbMUgTQvb345Z2YZwcpK0kPNi6v6N51DuZ/6DZA8EC+gVTNTO09xtNIH8aMlvqyvUSXuh278xayExC5yTRXEg+ikdZRd4QzS7obSK1kgRZWI6ipxPNL6rd56/VvPxyhcbS7Vm40/2+e0nVb3bjNHBxjQTXSs1Xhuc9eP2gEsC4Sl32bGqdeDU1Y4dFGukuzPYoHuEtDPh+GkLUq3KeiDAQshxAZLmOIRcQ7iJ/bELDJTN9AcX6lqlDZ79w==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
次の通知には、インスタンスに関連付けられている EC2 セキュリティグループ `sg-3f1fef43` の設定項目の変更が含まれています。
```
{
"Type": "Notification",
"MessageId": "564d873e-711e-51a3-b48c-d7d064f65bf4",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::EC2::SecurityGroup sg-3f1fef43 Created in Account 123456789012",
"Message": {
"configurationItemDiff": {
"changedProperties": {},
"changeType": "CREATE"
},
"configurationItem": {
"relatedEvents": [],
"relationships": [{
"resourceId": "vpc-14400670",
"resourceName": null,
"resourceType": "AWS::EC2::VPC",
"name": "Is contained in Vpc"
}],
"configuration": {
"ownerId": "123456789012",
"groupName": "example-security-group-2",
"groupId": "sg-3f1fef43",
"description": "This is an example security group.",
"ipPermissions": [],
"ipPermissionsEgress": [{
"ipProtocol": "-1",
"fromPort": null,
"toPort": null,
"userIdGroupPairs": [],
"ipRanges": ["0.0.0.0/0"],
"prefixListIds": []
}],
"vpcId": "vpc-14400670",
"tags": []
},
"supplementaryConfiguration": {},
"tags": {},
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2017-01-09T22:50:15.156Z",
"configurationStateId": 1484002215156,
"awsAccountId": "123456789012",
"configurationItemStatus": "ResourceDiscovered",
"resourceType": "AWS::EC2::SecurityGroup",
"resourceId": "sg-3f1fef43",
"resourceName": null,
"ARN": "arn:aws:ec2:us-east-2:123456789012:security-group/sg-3f1fef43",
"awsRegion": "us-east-2",
"availabilityZone": "Not Applicable",
"configurationStateMd5Hash": "7399608745296f67f7fe1c9ca56d5205",
"resourceCreationTime": null
},
"notificationCreationTime": "2017-01-09T22:50:16.021Z",
"messageType": "ConfigurationItemChangeNotification",
"recordVersion": "1.2"
},
"Timestamp": "2017-01-09T22:50:16.413Z",
"SignatureVersion": "1",
"Signature": "GocX31Uu/zNFo85hZqzsNy30skwmLnjPjj+UjaJzkih+dCP6gXYGQ0bK7uMzaLL2C/ibYOOsT7I/XY4NW6Amc5T46ydyHDjFRtQi8UfUQTqLXYRTnpOO/hyK9lMFfhUNs4NwQpmx3n3mYEMpLuMs8DCgeBmB3AQ+hXPhNuNuR3mJVgo25S8AqphN9O0okZ2MKNUQy8iJm/CVAx70TdnYsfUMZ24n88bUzAfiHGzc8QTthMdrFVUwXxa1h/7Zl8+A7BwoGmjo7W8CfLDVwaIQv1Uplgk3qd95Z0AXOzXVxNBQEi4k8axcknwjzpyO1g3rKzByiQttLUQwkgF33op9wg==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
## Amazon SNS `ConfigurationItemChangeNotification` 通知の `configurationItemDiff` フィールドについて
AWS Config は、リソースの設定が変更 (create/update/delete) されるたびに設定項目を作成します。が記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。Amazon SNS AWS Config を使用して、変更が発生したときに通知を配信します。Amazon SNS 通知のペイロードには、指定された AWS リージョンでのリソースの変更を追跡するのに役立つフィールドが含まれています。
`ConfigurationItemChangeNotification` 通知を受け取る理由を理解するには、`configurationItemDiff` の詳細を確認します。フィールドは変更タイプによって異なり、UPDATE-UPDATE、UPDATE-CREATE、および DELETE-DELETE など、組み合わせはさまざまです。一般的な組み合わせは次のとおりです。
### UPDATE-CREATE と UPDATE-UPDATE
次の例には、リソースの直接関係とリソース設定の変更が含まれています。`configurationItemDiff` の詳細は、次の情報を公開します。
**実行されたアクション**: アカウントに存在する管理ポリシーが AWS Identity and Access Management (IAM) ロールにアタッチされました。
**実行された基本的なオペレーション**: UPDATE (アカウントのリソースタイプ `AWS::IAM::Policy` の関連付けの数を更新)。
**変更タイプの組み合わせ**:
1. リソースダイレクトの関係は、更新-作成を変更します。IAM ポリシーと IAM ロールの間に新しいアタッチメントまたはアソシエーションが作成されました。
1. リソース設定は、UPDATE-CREATE を変更します。ポリシーが IAM ロールにアタッチされたとき、IAM ポリシーの関連付けの数は 2 から 3 に増加しました。
UPDATE-CREATE と UPDATE-UPDATE `configurationItemDiff` 通知の例:
```
{
"configurationItemDiff": {
"changedProperties": {
"Relationships.0": {
"previousValue": null,
"updatedValue": {
"resourceId": "AROA6D3M4S53*********",
"resourceName": "Test1",
"resourceType": "AWS::IAM::Role",
"name": "Is attached to Role"
},
"changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1
},
"Configuration.AttachmentCount": {
"previousValue": 2,
"updatedValue": 3,
"changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2
}
},
"changeType": "UPDATE"
}
}
```
### UPDATE-DELETE
次の例には、リソースの直接関係とリソース設定の変更が含まれています。`configurationItemDiff` の詳細は、次の情報を公開します。
**実行されたアクション**: アカウントに存在するマネージドポリシーが、IAM ユーザーからデタッチされました。
**実行された基本的なオペレーション**: UPDATE (リソースタイプ `AWS::IAM::User` に関連付けられたアクセス許可ポリシーの更新)。
**変更タイプの組み合わせ**: リソース直接関係の変更 UPDATE-DELETE。アカウントの IAM ユーザーと IAM ポリシー間の関連付けが削除されました。
### DELETE-DELETE
次の例には、リソースの直接関係とリソース設定の変更が含まれています。`configurationItemDiff` の詳細は、次の情報を公開します。
**実行されたアクション**: アカウントに存在する IAM ロールが削除されました。
**実行された基本的なオペレーション**: DELETE (リソースタイプ `AWS::IAM::Role` のリソースが削除されました)。
**変更タイプの組み合わせ**: リソース直接関係の変更とリソース設定の変更 DELETE-DELETE。IAM ロールを削除により、IAM ポリシーと IAM ロールとの関連付けも削除されました。
# 設定履歴の配信通知の例
設定履歴は、特定期間の特定リソースタイプに関する設定項目のコレクションです。以下は、CloudTrail 証跡リソースの設定履歴がアカウントに配信されたときに が AWS Config 送信する通知の例です。
```
{
"Type": "Notification",
"MessageId": "ce49bf2c-d03a-51b0-8b6a-ef480a8b39fe",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration History Delivery Completed for Account 123456789012",
"Message": {
"s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigHistory/123456789012_Config_us-east-2_ConfigHistory_AWS::CloudTrail::Trail_20160927T195818Z_20160927T195818Z_1.json.gz",
"s3Bucket": "config-bucket-123456789012-ohio",
"notificationCreationTime": "2016-09-27T20:37:05.217Z",
"messageType": "ConfigurationHistoryDeliveryCompleted",
"recordVersion": "1.1"
},
"Timestamp": "2016-09-27T20:37:05.315Z",
"SignatureVersion": "1",
"Signature": "OuIcS5RAKXTR6chQEJp3if4KJQVlBz2kmXh7QE1/RJQiCPsCNfG0J0rUZ1rqfKMqpps/Ka+zF0kg4dUCWV9PF0dliuwnjfbtYmDZpP4EBOoGmxcTliUn1AIe/yeGFDuc6P3EotP3zt02rhmxjezjf3c11urstFZ8rTLVXp0z0xeyk4da0UetLsWZxUFEG0Z5uhk09mBo5dg/4mryIOovidhrbCBgX5marot8TjzNPS9UrKhi2YGUoSQGr4E85EzWqqXdn33GO8dy0DqDfdWBaEr3IWVGtHy3w7oJDMIqW7ENkfML0bJMQjin4P5tYeilNF5XQzhtCkFvFx7JHR97vw==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# 設定スナップショットの配信開始の通知例
が アカウントの設定スナップショットの配信 AWS Config を開始したときに AWS Config が送信する通知の例を次に示します。
```
{
"Type": "Notification",
"MessageId": "a32d0487-94b1-53f6-b4e6-5407c9c00be6",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Started for Account 123456789012",
"Message": {
"configSnapshotId": "108e0794-84a7-4cca-a179-76a199ddd11a",
"notificationCreationTime": "2016-10-18T17:26:09.572Z",
"messageType": "ConfigurationSnapshotDeliveryStarted",
"recordVersion": "1.1"
},
"Timestamp": "2016-10-18T17:26:09.840Z",
"SignatureVersion": "1",
"Signature": "BBA0DeKsfteTpYyZH5HPANpOLmW/jumOMBsghRq/kimY9tjNlkF/V3BpLG1HVmDQdQzBh6oKE0h0rxcazbyGf5KF5W5r1zKKlEnS9xugFzALPUx//olSJ4neWalLBKNIq1xvAQgu9qHfDR7dS2aCwe4scQfqOjn1Ev7PlZqxmT+ux3SR/C54cbfcduDpDsPwdo868+TpZvMtaU30ySnX04fmOgxoiA8AJO/EnjduQ08/zd4SYXhm+H9wavcwXB9XECelHhRW70Y+wHQixfx40S1SaSRzvnJE+m9mHphFQs64YraRDRv6tMaenTk6CVPO+81ceAXIg2E1m7hZ7lz4PA==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# 設定スナップショットの配信通知の例
設定スナップショットは、アカウント内のすべての記録されたリソースとその設定に関する設定項目のコレクションです。以下は、アカウントの設定スナップショットが配信されたときに が AWS Config 送信する通知の例です。
```
{
"Type": "Notification",
"MessageId": "9fc82f4b-397e-5b69-8f55-7f2f86527100",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Configuration Snapshot Delivery Completed for Account 123456789012",
"Message": {
"configSnapshotId": "16da64e4-cb65-4846-b061-e6c3ba43cb96",
"s3ObjectKey": "AWSLogs/123456789012/Config/us-east-2/2016/9/27/ConfigSnapshot/123456789012_Config_us-east-2_ConfigSnapshot_20160927T183939Z_16da64e4-cb65-4846-b061-e6c3ba43cb96.json.gz",
"s3Bucket": "config-bucket-123456789012-ohio",
"notificationCreationTime": "2016-09-27T18:39:39.853Z",
"messageType": "ConfigurationSnapshotDeliveryCompleted",
"recordVersion": "1.1"
},
"Timestamp": "2016-09-27T18:39:40.062Z",
"SignatureVersion": "1",
"Signature": "PMkWfUuj/fKIEXA7s2wTDLbZoF/MDsUkPspYghOpwu9n6m+C+zrm0cEZXPxxJPvhnWozG7SVqkHYf9QgI/diW2twP/HPDn5GQs2rNDc+YlaByEXnKVtHV1Gd4r1kN57E/oOW5NVLNczk5ymxAW+WGdptZJkCgyVuhJ28s08m3Z3Kqz96PPSnXzYZoCfCn/yP6CqXoN7olr4YCbYxYwn8zOUYcPmc45yYNSUTKZi+RJQRnDJkL2qb+s4h9w2fjbBBj8xe830VbFJqbHp7UkSfpc64Y+tRvmMLY5CI1cYrnuPRhTLdUk+R0sshg5G+JMtSLVG/TvWbjz44CKXJprjIQg==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# コンプライアンス変更の通知の例
がカスタムルールまたはマネージドルールに対してリソース AWS Config を評価すると、 はリソースがルールに準拠しているかどうかを示す通知 AWS Config を送信します。
次の例は、CloudTrail 証跡リソースが `cloudtrail-enabled ` マネージドルールに準拠していることを示す通知です。
```
{
"Type": "Notification",
"MessageId": "11fd05dd-47e1-5523-bc01-55b988bb9478",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] AWS::::Account 123456789012 is COMPLIANT with cloudtrail-enabled in Accoun...",
"Message": {
"awsAccountId": "123456789012",
"configRuleName": "cloudtrail-enabled",
"configRuleARN": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-9rpvxc",
"resourceType": "AWS::::Account",
"resourceId": "123456789012",
"awsRegion": "us-east-2",
"newEvaluationResult": {
"evaluationResultIdentifier": {
"evaluationResultQualifier": {
"configRuleName": "cloudtrail-enabled",
"resourceType": "AWS::::Account",
"resourceId": "123456789012"
},
"orderingTimestamp": "2016-09-27T19:48:40.619Z"
},
"complianceType": "COMPLIANT",
"resultRecordedTime": "2016-09-27T19:48:41.405Z",
"configRuleInvokedTime": "2016-09-27T19:48:40.914Z",
"annotation": null,
"resultToken": null
},
"oldEvaluationResult": {
"evaluationResultIdentifier": {
"evaluationResultQualifier": {
"configRuleName": "cloudtrail-enabled",
"resourceType": "AWS::::Account",
"resourceId": "123456789012"
},
"orderingTimestamp": "2016-09-27T16:30:49.531Z"
},
"complianceType": "NON_COMPLIANT",
"resultRecordedTime": "2016-09-27T16:30:50.717Z",
"configRuleInvokedTime": "2016-09-27T16:30:50.105Z",
"annotation": null,
"resultToken": null
},
"notificationCreationTime": "2016-09-27T19:48:42.620Z",
"messageType": "ComplianceChangeNotification",
"recordVersion": "1.0"
},
"Timestamp": "2016-09-27T19:48:42.749Z",
"SignatureVersion": "1",
"Signature": "XZ9FfLb2ywkW9yj0yBkNtIP5q7Cry6JtCEyUiHmG9gpOZi3seQ41udhtAqCZoiNiizAEi+6gcttHCRV1hNemzp/YmBmTfO6azYXt0FJDaEvd86k68VCS9aqRlBBjYlNo7ILi4Pqd5rE4BX2YBQSzcQyERGkUfTZ2BIFyAmb1Q/y4/6ez8rDyi545FDSlgcGEb4LKLNR6eDi4FbKtMGZHA7Nz8obqs1dHbgWYnp3c80mVLl7ohP4hilcxdywAgXrbsN32ekYr15gdHozx8YzyjfRSo3SjH0c5PGSXEAGNuC3mZrKJip+BIZ21ZtkcUtY5B3ImgRlUO7Yhn3L3c6rZxQ==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
**例: 設定項目の変更 \$1 Amazon EventBridge**
```
{
"version": "0",
"id": "00bdf13e-1111-b2f5-cef0-e9cbbe7cd533",
"detail-type": "Config Configuration Item Change",
"source": "aws.config",
"account": "123456789012",
"time": "2022-03-16T01:10:51Z",
"region": "us-east-1",
"resources": ["arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95"],
"detail": {
"recordVersion": "1.3",
"messageType": "ConfigurationItemChangeNotification",
"configurationItemDiff": {
"changedProperties": {
"Configuration.FileSystemTags.0": {
"updatedValue": {
"Key": "test",
"Value": "me"
},
"changeType": "CREATE"
},
"Tags.2": {
"updatedValue": "me",
"changeType": "CREATE"
}
},
"changeType": "UPDATE"
},
"notificationCreationTime": "2022-03-16T01:10:51.976Z",
"configurationItem": {
"relatedEvents": [],
"relationships": [],
"configuration": {
"FileSystemId": "fs-01f0d526165b57f95",
"Arn": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95",
"Encrypted": true,
"FileSystemTags": [{
"Key": "Name",
"Value": "myname"
}, {
"Key": "test",
"Value": "me"
}],
"PerformanceMode": "generalPurpose",
"ThroughputMode": "bursting",
"LifecyclePolicies": [{
"TransitionToIA": "AFTER_30_DAYS"
}, {
"TransitionToPrimaryStorageClass": "AFTER_1_ACCESS"
}],
"BackupPolicy": {
"Status": "ENABLED"
},
"FileSystemPolicy": {},
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/0e6c91d5-e23b-4ed3-bd36-1561fbbc0a2d"
},
"supplementaryConfiguration": {},
"tags": {
"aws:elasticfilesystem:default-backup": "enabled",
"test": "me",
"Name": "cloudcontroltest1"
},
"configurationItemVersion": "1.3",
"configurationItemCaptureTime": "2022-03-16T01:10:50.837Z",
"configurationStateId": 1647393050837,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EFS::FileSystem",
"resourceId": "fs-01f0d526165b57f95",
"resourceName": "fs-01f0d526165b57f95",
"ARN": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-01f0d526165b57f95",
"awsRegion": "us-east-1",
"availabilityZone": "Regional",
"configurationStateMd5Hash": ""
}
}
}
```
# ルールの評価開始の通知例
AWS Config は、カスタムルールまたはマネージドルールをリソースに対して評価し始めると、通知を送信します。が `iam-password-policy`マネージドルールの評価 AWS Config を開始するときの通知の例を次に示します。
```
{
"Type": "Notification",
"MessageId": "358c8e65-e27a-594e-82d0-de1fe77393d7",
"TopicArn": "arn:aws:sns:us-east-2:123456789012:config-topic-ohio",
"Subject": "[AWS Config:us-east-2] Config Rules Evaluation Started for Account 123456789012",
"Message": {
"awsAccountId": "123456789012",
"awsRegion": "us-east-2",
"configRuleNames": ["iam-password-policy"],
"notificationCreationTime": "2016-10-13T21:55:21.339Z",
"messageType": "ConfigRulesEvaluationStarted",
"recordVersion": "1.0"
},
"Timestamp": "2016-10-13T21:55:21.575Z",
"SignatureVersion": "1",
"Signature": "DE431D+24zzFRboyPY2bPTsznJWe8L6TjDC+ItYlLFkE9jACSBl3sQ1uSjYzEhEbN7Cs+wBoHnJ/DxOSpyCxt4giqgKd+H2I636BvrQwHDhJwJm7qI6P8IozEliRvRWbM38zDTvHqkmmXQbdDHRsK/MssMeVTBKuW0x8ivMrj+KpwuF57tE62eXeFhjBeJ0DKQV+aC+i3onsuT7HQvXQDBPdOM+cSuLrJaMQJ6TcMU5G76qg/gl494ilb4Vj4udboGWpHSgUvI3guFsc1SsTrlWXQKXabWtsCQPfdOhkKgmViCfMZrLRp8Pjnu+uspYQELkEfwBchDVVzd15iMrAzQ==",
"SigningCertURL": "https://sns.us-east-2.amazonaws.com/SimpleNotificationService-b95095beb82e8f6a046b3aafc7f4149a.pem",
"UnsubscribeURL": "https://sns.us-east-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-east-2:123456789012:config-topic-ohio:956fe658-0ce3-4fb3-b409-a45f22a3c3d4"
}
```
# サイズが大きすぎる設定項目の変更の通知例
がリソースの設定変更 AWS Config を検出すると、設定項目 (CI) 通知が送信されます。通知が Amazon Simple Notification Service (Amazon SNS) の最大許容サイズを超えている場合、通知には設定項目の概要が含まれます。
通知の全詳細は、`s3BucketLocation` フィールドで指定した Amazon S3 バケット内に表示されています。
次の例は、Amazon EC2 インスタンスの CI を示す通知です。通知には、変更の概要と Amazon S3 バケット内の通知の参照先が含まれています。
```
View the Timeline for this Resource in the Console:
https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80?time=2016-10-06T16:46:16.261Z
The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location.
New State Record Summary:
----------------------------
{
"configurationItemSummary": {
"changeType": "UPDATE",
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2016-10-06T16:46:16.261Z",
"configurationStateId": 0,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "resourceId_14b76876-7969-4097-ab8e-a31942b02e80",
"resourceName": null,
"ARN": "arn:aws:ec2:us-west-2:123456789012:instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80",
"awsRegion": "us-west-2",
"availabilityZone": null,
"configurationStateMd5Hash": "8f1ee69b287895a0f8bc5753eca68e96",
"resourceCreationTime": "2016-10-06T16:46:10.489Z"
},
"s3DeliverySummary": {
"s3BucketLocation": "amzn-s3-demo-bucket/AWSLogs/123456789012/Config/us-west-2/2016/10/6/OversizedChangeNotification/AWS::EC2::Instance/resourceId_14b76876-7969-4097-ab8e-a31942b02e80/123456789012_Config_us-west-2_ChangeNotification_AWS::EC2::Instance_resourceId_14b76876-7969-4097-ab8e-a31942b02e80_20161006T164616Z_0.json.gz",
"errorCode": null,
"errorMessage": null
},
"notificationCreationTime": "2016-10-06T16:46:16.261Z",
"messageType": "OversizedConfigurationItemChangeNotification",
"recordVersion": "1.0"
}
```
## オーバーサイズの設定項目にアクセスする方法
設定項目がオーバーサイズの場合は、概要のみが Amazon SNS に送信されます。完全な設定項目 (CI) は Amazon S3 に保存されます。
次のコード例は、完全な CI にアクセスする方法を示しています。
```
import boto3
import json
def handle_oversized_configuration_item(event):
"""
Example of handling an oversized configuration item notification
When a configuration item is oversized:
1. AWS Config sends a summary notification through SNS
2. The complete configuration item is stored in S3
3. Use get_resource_config_history API to retrieve the complete configuration
"""
# Extract information from the summary notification
if event['messageType'] == 'OversizedConfigurationItemChangeNotification':
summary = event['configurationItemSummary']
resource_type = summary['resourceType']
resource_id = summary['resourceId']
# Initialize AWS Config client
config_client = boto3.client('config')
# Retrieve the complete configuration item
response = config_client.get_resource_config_history(
resourceType=resource_type,
resourceId=resource_id
)
if response['configurationItems']:
config_item = response['configurationItems'][0]
# For EC2 instances, the configuration contains instance details
configuration = json.loads(config_item['configuration'])
print(f"Instance Configuration: {configuration}")
# Handle supplementary configuration if present
if 'supplementaryConfiguration' in config_item:
for key, value in config_item['supplementaryConfiguration'].items():
if isinstance(value, str):
config_item['supplementaryConfiguration'][key] = json.loads(value)
print(f"Supplementary Configuration: {config_item['supplementaryConfiguration']}")
return config_item
# If needed, you can also access the complete notification from S3
s3_location = event['s3DeliverySummary']['s3BucketLocation']
print(f"Complete notification available in S3: {s3_location}")
return None
```
## 仕組み
1. 関数は、 AWS Config 通知を含むイベントパラメータを受け入れます。
1. メッセージタイプがオーバーサイズの設定通知であるかどうかをチェックします。
1. 関数は、概要からリソースタイプと ID を抽出します。
1. AWS Config クライアントを使用して、完全な設定履歴を取得します。
1. 関数は、メイン設定と補足設定の両方を処理します。
1. 必要に応じて、指定された S3 の場所から完全な通知にアクセスできます。
# 配信失敗の通知の例
AWS Config が設定スナップショットまたはオーバーサイズの設定項目変更通知を Amazon AWS Config S3 バケットに配信できない場合、 は配信失敗通知を送信します。 Amazon S3 有効な Amazon S3 バケットを指定したことを確認してください。
```
View the Timeline for this Resource in the Console:
https://console.aws.amazon.com/config/home?region=us-west-2#/timeline/AWS::EC2::Instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457?time=2016-10-06T16:46:13.749Z
The full configuration item change notification for this resource exceeded the maximum size allowed by Amazon Simple Notification Service (SNS). A summary of the configuration item is provided here. You can view the complete notification in the specified Amazon S3 bucket location.
New State Record Summary:
----------------------------
{
"configurationItemSummary": {
"changeType": "UPDATE",
"configurationItemVersion": "1.2",
"configurationItemCaptureTime": "2016-10-06T16:46:13.749Z",
"configurationStateId": 0,
"awsAccountId": "123456789012",
"configurationItemStatus": "OK",
"resourceType": "AWS::EC2::Instance",
"resourceId": "test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457",
"resourceName": null,
"ARN": "arn:aws:ec2:us-west-2:123456789012:instance/test_resourceId_014b953d-75e3-40ce-96b9-c7240b975457",
"awsRegion": "us-west-2",
"availabilityZone": null,
"configurationStateMd5Hash": "6de64b95eacd30e7b63d4bba7cd80814",
"resourceCreationTime": "2016-10-06T16:46:10.489Z"
},
"s3DeliverySummary": {
"s3BucketLocation": null,
"errorCode": "NoSuchBucket",
"errorMessage": "Failed to deliver notification to bucket: bucket-example for account 123456789012 in region us-west-2."
},
"notificationCreationTime": "2016-10-06T16:46:13.749Z",
"messageType": "OversizedConfigurationItemChangeDeliveryFailed",
"recordVersion": "1.0"
}
```