翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# モニタリング
他の AWS サービスを使用してリソースをモニタリングできます AWS Config 。
+ Amazon Simple Notification Service (SNS) を使用すると、ユーザー API アクティビティの結果としてサポートされている AWS リソースが作成、更新、またはその他の方法で変更されるたびに通知を送信できます。
+ Amazon EventBridge を使用して、 AWS Config イベントのステータスでの変更を検出し、対応できます。
**Topics**
+ [Amazon SQS の使用](monitor-resource-changes.md)
+ [Amazon EventBridge の使用](monitor-config-with-cloudwatchevents.md)
# Amazon SQS による AWS リソース変更のモニタリング
AWS Config は Amazon Simple Notification Service (SNS) を使用して、ユーザー API アクティビティの結果としてサポートされている AWS リソースが作成、更新、またはその他の方法で変更されるたびに通知を送信します。ただし、特定のリソースの設定変更以外の情報は必要ない場合もあります。例えば、第三者によるセキュリティグループの設定変更を知ることは重要であっても、Amazon EC2 インスタンスのタグの変更を逐一知る必要はないでしょう。または、特定のリソースの更新時に特定のアクションを実行するプログラムを記述する場合があります。例えば、セキュリティグループの設定の変更時に、特定のワークフローを開始する場合があります。これらの方法で からのデータをプログラム AWS Config で使用する場合、Amazon SNS の通知エンドポイントとして Amazon Simple Queue Service キューを使用します。
**注記**
通知は、Amazon SNS から E メール、SMS 対応の携帯電話やスマートフォンに対するショートメッセージサービス (SMS) のメッセージ、モバイルデバイスのアプリケーションに対する通知メッセージ、または 1 つ以上の HTTP や HTTPS エンドポイントに対する通知メッセージの形式で着信する場合があります。
リージョンごとに 1 つのトピックがある場合であれ、各リージョンでアカウントごとに 1 つのトピックがある場合であれ、1 つの SQS キューを複数のトピックにサブスクライブできます。キューは目的の SNS トピックにサブスクライブする必要があります (複数のキューを 1 つの SNS トピックにサブスクライブできます)。詳細については、[Amazon SQS キューへの Amazon SNS メッセージの送信](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html)を参照してください。
## Amazon SQS のアクセス許可
で Amazon SQS を使用するには AWS Config、SQS キューで許可されているすべてのアクションを実行するためのアクセス許可をアカウントに付与するポリシーを設定する必要があります。以下のポリシー例では、アカウント番号 111122223333 とアカウント番号 444455556666 に対して、各設定変更に関するメッセージを arn:aws:sqs:us-east-2:444455556666:queue1 という名前のキューを送信するためのアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement":
{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": ["111122223333","444455556666"]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}
}
```
------
SNS トピックとそのトピックにサブスクライブする SQS キューの間の接続に対してアクセス許可を付与するポリシーを作成する必要もあります。次のポリシー例では、Amazon リソースネーム (ARN) が arn:aws:sns:us-east-2:111122223333:test-topic である SNS トピックに対して、arn:aws:sqs:us-east-2:111122223333:test-topic-queue という名前のキューにアクションを実行することを許可します。
**注記**
SQS キューと SNS トピックのアカウントは同じリージョンに存在する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SNStoSQS",
"Statement":
{
"Sid":"rule1",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
"Condition" : {
"StringEquals" : {
"aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
}
}
}
}
```
------
各ポリシーには、複数のキューではなく、1 つのキューだけを対象とするステートメントを含めることができます。Amazon SQS ポリシーに関するその他の制限については、[Amazon SQS ポリシーに関する特別情報](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/AccessPolicyLanguage_SpecialInfo.html)を参照してください。
# Amazon EventBridge AWS Config によるモニタリング
Amazon EventBridge は、 AWS リソースの変更を記述したシステムイベントのストリームをほぼリアルタイムに配信します。Amazon EventBridge を使用して、 AWS Config イベントのステータスの変化を検出して対応します。
状態の遷移があると実行されるルールや、関心のある 1 以上の遷移があると実行されるルールを作成できます。次に、ユーザーが作成するルールに基づいて、ルール内のユーザー指定の値にイベントが一致するときに、Amazon EventBridge が 1 つ、または複数のターゲットアクションを呼び出します。イベントのタイプに応じて、通知の送信、イベント情報の取得、是正措置の実施、またはその他の対策を行うことができます。
ただし AWS Config、 のイベントルールを作成する前に、以下を実行する必要があります。
+ EventBridge のイベント、ルール、ターゲットに精通しておいてください。詳細については、「[Amazon EventBridge とは?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)」を参照してください。
+ EventBridge の使用を開始してルールを設定する方法の詳細については、「[Amazon EventBridge の開始方法](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html)」を参照してください。
+ イベントのルールで使用するターゲットを作成します。
**Topics**
+ [考慮事項](#monitor-config-with-cloudwatchevents-considerations)
+ [の Amazon EventBridge 形式 AWS Config](#cloudwatch-event-format-for-awsconfig)
+ [の Amazon EventBridge ルールの作成 AWS Config](#create-cloudwatch-events-rule-for-awsconfig)
## 考慮事項
AWS Configで記録していない場合、以下のリソースタイプのアラートは EventBridge を通じて受信されません。
+ `AWS::ACM::Certificate`
+ `AWS::CloudTrail::Trail`
+ `AWS::CloudWatch::Alarm`
+ `AWS::EC2::CustomerGateway`
+ `AWS::EC2::EIP`
+ `AWS::EC2::Host`
+ `AWS::EC2::Instance`
+ `AWS::EC2::InternetGateway`
+ `AWS::EC2::NetworkAcl`
+ `AWS::EC2::NetworkInterface`
+ `AWS::EC2::RouteTable`
+ `AWS::EC2::SecurityGroup`
+ `AWS::EC2::Subnet`
+ `AWS::EC2::VPC`
+ `AWS::EC2::VPNConnection`
+ `AWS::EC2::VPNGateway`
+ `AWS::EC2::Volume`
+ `AWS::ElasticLoadBalancingV2::LoadBalancer`
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
+ `AWS::RDS::DBInstance`
+ `AWS::RDS::DBSecurityGroup`
+ `AWS::RDS::DBSnapshot`
+ `AWS::RDS::DBSubnetGroup`
+ `AWS::RDS::EventSubscription`
+ `AWS::Redshift::Cluster`
+ `AWS::Redshift::ClusterParameterGroup`
+ `AWS::Redshift::ClusterSecurityGroup`
+ `AWS::Redshift::ClusterSnapshot`
+ `AWS::Redshift::ClusterSubnetGroup`
+ `AWS::Redshift::EventSubscription`
+ `AWS::S3::Bucket`
## の Amazon EventBridge 形式 AWS Config
の EventBridge [イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) AWS Config は、次の形式です。
```
{
"version": "0",
"id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",
"detail-type": "event type",
"source": "aws.config",
"account": "111122223333",
"time": "2018-03-22T00:38:11Z",
"region": "us-east-1",
"resources": [
resources
],
"detail": {
specific message type
}
}
```
## の Amazon EventBridge ルールの作成 AWS Config
AWS Configによって出力されたイベントでトリガーする EventBridge ルールを作成するには、以下の手順を実行します。イベントは、ベストエフォートベースで出力されます。
1. ナビゲーションペインで **[ルール]** を選択します。
1. **[ルールの作成]** を選択します。
1. ルールの名前と説明を入力します。
ルールには同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。
**注記**
イベントバスはソースからイベントを受信し、ルールを使用してイベントを評価し、設定された入力変換を適用して、適切なターゲット (複数可) にルーティングします。アカウントには、 AWS のサービスからイベントを受け取るデフォルトのイベントバスがあります。カスタムイベントバスは、カスタムアプリケーションおよびサービスからイベントを受信できます。パートナーイベントバスは、SaaS パートナーによって作成されたイベントソースからイベントを受信します。これらのイベントは、パートナーサービスまたはアプリケーションから発生します。詳細については、「*Amazon EventBridge ユーザーガイド*」の「[Amazon EventBridge のイベントバス](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)」を参照してください。
1. **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
1. **[イベントソース]** で、**[AWS イベントまたは EventBridge パートナーイベント]** を選択してください。
1. (オプション) **[サンプルイベントタイプ]** では、**[AWS イベント]** を選択します。
1. (オプション) **[サンプルイベント]** で、ルールをトリガーするイベントタイプを選択します。
+ **[CloudTrail 経由のAWS API コール]** を選択して、このサービスに対して行われた API コールをルールのベースにします。このタイプのルールの作成の詳細については、[「チュートリアル: AWS CloudTrail API コール用の Amazon EventBridge ルールを作成する](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html)」を参照してください。
+ アカウント内のリソースが変更されたときに通知を受け取るには、**[Config Configuration Item Change]** (設定項目の変更) を選択します。
これらのサポート記事で説明されているように、EventBridge を使用して、リソースが作成または削除されたときにカスタム E メール通知を受け取ることができます。 [AWS Config サービス AWS アカウント を使用して でリソースが作成されたときにカスタム E メール通知を受け取るにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) および [AWS Config サービス AWS アカウント を使用して でリソースが削除されたときにカスタム E メール通知を受け取るにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/)
+ ルールに対するコンプライアンスチェックが失敗したときに通知を受け取るには、**[Config Rules Compliance Change]** (設定ルールのコンプライアンス変更) を選択します。
このサポート記事で説明されているように、EventBridge を使用して、リソースが準拠していない場合にカスタム E メール通知を受信できます。 [を使用して AWS リソースが準拠していない場合に通知を受け取るにはどうすればよいですか AWS Config?](https://repost.aws/knowledge-center/config-resource-non-compliant)
+ 再評価ステータスの通知を受け取るには、**[Config Rules Re-evaluation Status]** (設定ルールの再評価ステータス) を選択します。
+ 設定スナップショットの配信ステータスの通知を受け取るには、**[Config Configuration Snapshot Delivery Status]** (設定スナップショット配信ステータス) を選択します。
+ 設定履歴の配信ステータスの通知を受け取るには、**[Config Configuration History Delivery Status]** (設定スナップショット履歴の配信ステータス) を選択します。
1. **作成方法** では、**パターンフォームの使用** を選択します。
1. **[イベントソース]** で、**[AWS のサービス]** を選択してください。
1. **[AWS サービス名]** には **[Config]** を選択します。
1. **[イベントタイプ]** で、ルールをトリガーするイベントタイプを選択します。
+ **すべてのイベント**を選択して、すべての AWS サービスに適用されるルールを作成します。このオプションを選択した場合、特定のメッセージタイプ、ルール名、リソースタイプ、またはリソース ID を選択することはできません。
+ **[CloudTrail 経由のAWS API コール]** を選択して、このサービスに対して行われた API コールをルールのベースにします。このタイプのルールの作成の詳細については、[「チュートリアル: AWS CloudTrail API コール用の Amazon EventBridge ルールを作成する](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ct-api-tutorial.html)」を参照してください。
+ アカウント内のリソースが変更されたときに通知を受け取るには、**[Config Configuration Item Change]** (設定項目の変更) を選択します。
これらのサポート記事で説明されているように、EventBridge を使用して、リソースが作成または削除されたときにカスタム E メール通知を受け取ることができます。 [AWS Config サービス AWS アカウント を使用して でリソースが作成されたときにカスタム E メール通知を受け取るにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/) および [AWS Config サービス AWS アカウント を使用して でリソースが削除されたときにカスタム E メール通知を受け取るにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-deleted/)
+ ルールに対するコンプライアンスチェックが失敗したときに通知を受け取るには、**[Config Rules Compliance Change]** (設定ルールのコンプライアンス変更) を選択します。
このサポート記事で説明されているように、EventBridge を使用して、リソースが準拠していない場合にカスタム E メール通知を受信できます。 [を使用して AWS リソースが準拠していない場合に通知を受け取るにはどうすればよいですか AWS Config?](https://repost.aws/knowledge-center/config-resource-non-compliant)
+ 再評価ステータスの通知を受け取るには、**[Config Rules Re-evaluation Status]** (設定ルールの再評価ステータス) を選択します。
+ 設定スナップショットの配信ステータスの通知を受け取るには、**[Config Configuration Snapshot Delivery Status]** (設定スナップショット配信ステータス) を選択します。
+ 設定履歴の配信ステータスの通知を受け取るには、**[Config Configuration History Delivery Status]** (設定スナップショット履歴の配信ステータス) を選択します。
1. 任意のタイプの通知を受け取るには、**[Any message type]** (任意のメッセージタイプ) を選択します。次のタイプの通知を受け取るには、**[Specific message type(s)]** (特定のメッセージタイプ) を選択します。
+ **ConfigurationItemChangeNotification** を選択すると、 が AWS Config 評価するリソースの設定が変更されるとメッセージが表示されます。
+ **ComplianceChangeNotification** を選択した場合、 AWS Config が評価するリソースタイプが変更されたときに、メッセージを受け取ります。
+ **ConfigRulesEvaluationStarted** を選択すると、 が指定されたリソースに対してルールの評価 AWS Config を開始すると、メッセージが表示されます。
+ **ConfigurationSnapshotDeliveryCompleted** を選択すると、 が設定スナップショットを Amazon S3 バケットに AWS Config 正常に配信すると、メッセージが表示されます。
+ **ConfigurationSnapshotDeliveryFailed** を選択すると、 AWS Config が設定スナップショットを Amazon S3 バケットに配信できなかったときにメッセージが表示されます。
+ **ConfigurationSnapshotDeliveryStarted** を選択すると、 AWS Config が設定スナップショットを Amazon S3 バケットに配信するときにメッセージが表示されます。
+ **ConfigurationHistoryDeliveryCompleted** を選択すると、 が設定履歴を Amazon S3 バケットに AWS Config 正常に配信すると、メッセージが表示されます。
1. イベントタイプのドロップダウンリストから特定の**イベントタイプ**を選択した場合は、**任意のリソースタイプ**を選択して、 AWS Config サポートされているすべてのリソースタイプに適用されるルールを作成します。
または、**[Specific resource type(s)]** (特定のリソースタイプ) を選択し、サポートされる AWS Config リソースタイプ (例: `AWS::EC2::Instance`) を入力します。
1. **[Event Type]** (イベントタイプ) ドロップダウンリストから特定のイベントタイプを選択した場合は、**[Any resource ID]** (任意のリソース ID) を選択して、サポートされる AWS Config リソース ID を含めます。
または、**[Specific resource ID(s)]** (特定のリソース ID) を選択し、サポートされる AWS Config リソース ID (例: `i-04606de676e635647`) を入力します。
1. **[Event Type]** (イベントタイプ) ドロップダウンリストから特定のイベントタイプを選択した場合は、**[Any rule name]** (任意のルール名) を選択して、サポートされる AWS Config ルールを含めます。
または、**[Specific rule name(s)]** (特定のルール名) を選択し、サポートされる AWS Config ルール (例: **required-tags**) を入力します。
1. **[ターゲットの選択]** で、このルールでの使用のために準備したターゲットのタイプを選択してから、そのタイプに必要な追加のオプションを設定します。
1. 表示されるフィールドは、選択したサービスによって異なります。必要に応じて、このターゲットタイプに固有の情報を入力します。
1. 多くのターゲットタイプでは、EventBridge はターゲットにイベントを送信するためのアクセス許可が必要です。これらの場合、EventBridge は、イベントの実行に必要な IAM ロールを作成できます。
+ 自動的に IAM ロールを作成するには、[**Create a new role for this specific resource** (この特定のリソースに対して新しいロールを作成する)] を選択します。
+ 以前に作成した IAM ロールを使用するには、[**Use existing role** (既存のロールの使用)] を選択します。
1. (オプション) [**Add target** (ターゲットの追加)] を選択して、このルールに別のターゲットを追加します。
1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、「[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)」を参照してください。
1. ルール設定を確認して、イベントモニタリング要件を満たしていることを確認します。
1. **[Create]** (作成) を選択して、選択を確定します。