翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した AWS リソースの記録 AWS Config
<a name="select-resources"></a>

AWS Config は、サポートされているリソースタイプの作成、変更、または削除を継続的に検出します。 はこれらのイベントを設定項目 (CI) として AWS Config 記録します。 CIs

は、サポートされているすべてのリソースタイプ、または関連するサポートされているリソースタイプのみの設定変更を記録する AWS Config ようにカスタマイズできます。が記録 AWS Config できるサポートされているリソースタイプのリストについては、「」を参照してください[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)。

**Topics**
+ [考慮事項](#select-resources-considerations)
+ [リージョナルリソースとグローバルリソース](#select-resources-all)
+ [AWS Config ルールとグローバルリソースタイプ](#select-resources-rules-and-global)
+ [記録頻度](#select-resources-recording-frequency)
+ [記録対象外のリソース](#select-resources-non-recorded)
+ [リソースの記録 (コンソール)](select-resources-console.md)
+ [リソースの記録 (AWS CLI)](select-resources-cli.md)
+ [リソースの除外](select-resources-excluding.md)
+ [記録の停止](select-resources-stopping-recording.md)

## 考慮事項
<a name="select-resources-considerations"></a>

** AWS Config 評価の数が多い**

 AWS Config での最初の月の記録中に、後続の月と比較して、アカウントのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録 AWS Config するために選択したアカウント内のすべてのリソースで評価 AWS Config を実行します。

エフェメラルワークロードを実行している場合、これらの一時リソースの作成と削除に関連する設定変更を記録する AWS Config ため、 からのアクティビティが増加することがあります。一時的なワークロード**とは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、 AWS Auto Scalingがあります。

一時的なワークロードの実行によるアクティビティの増加を回避するには、カスタマーマネージド設定レコーダーを設定してこれらのリソースタイプが記録されないようにするか、これらのタイプのワークロードをオフ AWS Config の別のアカウントで実行して、設定の記録とルール評価の増加を回避できます。

**利用可能なリージョン**

が追跡 AWS Config するリソースタイプを指定する前に、[リージョン別のリソースカバレッジの可用性](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)をチェックして、リソースタイプがセットアップした AWS リージョンでサポートされているかどうかを確認します AWS Config。

リソースタイプが少なくとも 1 つのリージョン AWS Config で でサポートされている場合は、指定したリソースタイプがセットアップしたリージョンでサポートされていない場合でも AWS Config、 でサポートされているすべての AWS リージョンでそのリソースタイプの記録を有効にできます AWS Config。

## リージョナルリソースとグローバルリソースの違い
<a name="select-resources-all"></a>

**リージョナルリソース**  
リージョナルリソースは特定のリージョンに結び付けられており、そのリージョンでのみ使用できます。指定した に作成し AWS リージョン、そのリージョンに存在します。これらのリソースの表示や操作を行うには、そのリージョンに対してオペレーションを指示する必要があります。たとえば、 を使用して Amazon EC2 インスタンスを作成するには AWS マネジメントコンソール、インスタンスを作成する [を選択します AWS リージョン](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)。 AWS Command Line Interface (AWS CLI) を使用してインスタンスを作成する場合は、 `--region`パラメータを含めます。 AWS SDKs はそれぞれ、オペレーションが使用するリージョンを指定するための独自の同等のメカニズムを持っています。  
リージョナルリソースを使用するのは、いくつかの理由があります。理由の 1 つは、リソースと、そのリソースへのアクセスに使用するサービスエンドポイントを、できるだけ顧客の近くに置くことです。これにより、レイテンシーが最小限に抑えられるため、パフォーマンスが向上します。もう 1 つの理由は、分離境界を設けることです。これにより、複数のリージョンに独立したリソースのコピーを作成することで、負荷を分散してスケーラビリティを向上させることができます。同時に、リソースを互いに分離することで可用性を向上させます。  
 AWS リージョン コンソールまたは AWS CLI コマンドで別の を指定した場合、前のリージョンに表示されるリソースを表示したり操作したりできなくなります。  
リージョナルリソースの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を表示すると、そのリソースを含むリージョンが ARN の 4 番目のフィールドとして指定されています。例えば、Amazon EC2 インスタンスはリージョナルリソースです。以下に示しているのは、`us-east-1` リージョンに存在する Amazon EC2 インスタンス用の ARN の例です。  

```
arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
```

**グローバルリソース**  
一部の AWS サービスリソースは*グローバルリソース*です。つまり、***どこからでも***リソースを使用できます。グローバルサービスのコンソールでは AWS リージョン を指定しません。グローバルリソースにアクセスするには、サービスの AWS CLI および AWS SDK オペレーションを使用するときに`--region`パラメータを指定しません。  
グローバルリソースは、特定のリソースのインスタンスが一度に 1 つしか存在できないことが必須なケースをサポートします。このようなシナリオでは、異なるリージョンのコピーとの間でレプリケーションや同期を行うことは適切ではありません。リソースのコンシューマーが変更内容を瞬時に確認できるようにするとレイテンシーが増加する可能性があるため、単一のグローバルエンドポイントにアクセスする必要があることは許容できると考えられます。  
例えば、Amazon Aurora グローバルクラスター (`AWS::RDS::GlobalCluster`) はグローバルリソースのため、リージョンには関連付けられません。これは、リージョンのエンドポイントに依存することなく、グローバルクラスターを作成できるということになります。Amazon Relational Database Service (Amazon RDS) 自体はリージョンごとに構成されている一方で、グローバルクラスターを生成した特定のリージョンによってグローバルクラスターに影響を与えないという利点があります。これは、すべてのリージョンにまたがる 1 つの連続したグローバルクラスターのように見えます。  
グローバルリソースの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) には、リージョンは含まれません。以下のグローバルクラスターの ARN の例のように、4 番目のフィールドは空です。  

```
arn:aws:rds::123456789012:global-cluster:test-global-cluster
```
2022 年 2 月 AWS Config 以降に にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョンに、 GovCloud パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらの新しいグローバルリソースタイプの設定項目 (CIs) は、ホームリージョンと AWS GovCloud (米国西部) でのみ表示できます。  
2022 年 2 月より前にオンボードされたグローバルリソースタイプ (`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role`、および `AWS::IAM::User`) は変更されません。2022 年 2 月より前に AWS Config がサポートされているすべてのリージョンで、これらのグローバル IAM リソースの記録を有効にできます。これらのグローバル IAM リソースは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。  
**グローバルリソースタイプ \| IAM リソース**  
IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーの IAM リソースタイプはグローバルリソースです。これらのリソースタイプは、2022 年 2 月より前に AWS Config が利用可能なリージョンで によって AWS Config 記録できます。グローバル IAM リソースタイプを記録できないリストには、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、アジアパシフィック (タイ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) イスラエル (テルアビブ)、メキシコ (中部)、および中東 (アラブ首長国連邦) が含まれます。  
設定項目 (CI) の重複を防ぐために、サポートされる 1 つのリージョンで一度にグローバル IAM リソースを記録することだけを考慮する必要があります。また、不必要な評価や API スロットリングを回避するのにも役立ちます。  
**グローバルリソースタイプ \| ホームリージョンのみ**  
次のサービスのグローバルリソースは、Amazon Elastic Container Registry Public、Amazon Route 53 AWS Global Accelerator、Amazon CloudFront、および のグローバルリソースタイプのホームリージョンでのみ AWS Config によって記録されます AWS WAF。これらのグローバルリソースでは、リソースタイプの同じインスタンスを複数の AWS リージョンで使用できますが、設定項目 (CIs) は商用パーティションのホームリージョンまたは AWS GovCloud (US) パーティションの AWS GovCloud (米国西部) でのみ記録されます。    
**グローバルリソースタイプのホームリージョン**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/select-resources.html)  
**グローバルリソースタイプ \| Aurora グローバルクラスター**  
`AWS::RDS::GlobalCluster` は、カスタマーマネージド設定レコーダーが有効になっているサポートされているすべての AWS Config リージョンに記録されるグローバルリソースです。このグローバルリソースタイプは、1 つのリージョンでこのリソースの記録を有効にした場合、 AWS Config は有効なすべてのリージョンでこのリソースタイプの設定項目 (CIs) を記録するという点で一意です。  
有効なすべてのリージョンで `AWS::RDS::GlobalCluster` を記録しない場合は、次のいずれかの AWS Config コンソールの記録方法を使用します。  
+ **カスタマイズ可能なオーバーライドを使用してすべてのリソースタイプを記録し、**AWS 「RDS GlobalCluster」を選択し、オーバーライド「記録から除外」を選択します。
+ **[特定のリソースタイプを記録する]**。
有効なすべてのリージョンで `AWS::RDS::GlobalCluster` を記録しない場合、API/CLI に対して次のいずれかの記録方法を使用します。  
+ **除外を伴う、現在および将来のリソースタイプを記録する** (`EXCLUSION_BY_RESOURCE_TYPES`)
+ **[特定のリソースタイプを記録する]** (`INCLUSION_BY_RESOURCE_TYPES`)。

## AWS Config ルールとグローバルリソースタイプ
<a name="select-resources-rules-and-global"></a>

2022 年 2 月より前にオンボードされたグローバル IAM リソースタイプ (`AWS::IAM::Group`、`AWS::IAM::Policy`、`AWS::IAM::Role`、および `AWS::IAM::User`) は、2022 年 2 月より前に AWS Config が利用可能なリージョンでのみ AWS Config によって記録できます。これらのグローバル IAM リソースタイプは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、「[Recording AWS Resources \| Global Resources](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。

少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。

**2022 年 2 月より前のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス**

不要な評価を回避するには、これらのグローバルリソースが対象範囲内にある AWS Config ルールとコンフォーマンスパックのみを、サポートされているリージョンの 1 つにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「[List of AWS Config Managed Rules by Region Availability](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html)」を参照してください。これは、 AWS Config ルール、組織 AWS Config ルール、および AWS Security Hub CSPM や などの他の AWS サービスによって作成されたルールにも適用されます AWS Control Tower。

2022 年 2 月より前にオンボーディングされたグローバルリソースタイプを記録しない場合は、不要な評価を回避するために、次の定期ルールを有効にしないことをお勧めします。
+ [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
+ [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
+ [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
+ [iam-policy-in-use](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
+ [iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
+ [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
+ [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
+ [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
+ [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
+ [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**2022 年 2 月より後のグローバルリソースオンボードに関するコンプライアンスを報告するためのベストプラクティス**

2022 年 2 月以降に AWS Config 記録にオンボードされたグローバルリソースタイプは、商用パーティションの場合はサービスのホームリージョンに、 AWS GovCloud (US) パーティションの場合は AWS GovCloud (米国西部) にのみ記録されます。これらのグローバルリソースがスコープ内にある AWS Config ルールとコンフォーマンスパックは、リソースタイプのホームリージョンにのみデプロイする必要があります。詳細については、「[Home Regions for Global Resource Types](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。

## の記録頻度 AWS Config
<a name="select-resources-recording-frequency"></a>

AWS Config は、*連続録画*と*日次録画*をサポートしています。継続的な記録により、変更が発生するたびに設定の変更を継続的に記録できます。日次記録により、以前に記録された CI と異なる場合にのみ、過去 24 時間におけるリソースの最新の状態を表す設定項目 (CI) を受け取ることができます。録画頻度を変更する手順については、「[Changing Recording Frequency](https://docs.aws.amazon.com/config/latest/developerguide/managing-recorder_console-change-recording-frequency.html)」を参照してください。

**継続的な記録**

継続的な記録のメリットには次が含まれます。
+ **リアルタイムモニタリング**: 継続的な記録は、不正な変更や予期しない変更を即時に検出できるため、セキュリティとコンプライアンスへの取り組みを強化できます。
+ **詳細な分析**: 継続的な記録は、リソースへの設定変更が発生したときに詳細に分析できるため、その時点でのパターンや傾向を識別できます。

**日次記録**

日次記録のメリットには次が含まれます。
+ **最小限の中断**: 日次記録により、情報の流れを管理しやすくなるため、通知の頻度とアラートの疲労を軽減できます。
+ **コスト効率**: 日次記録は、リソースへの変更をより低い頻度で柔軟に記録できるため、記録される設定変更の数に関連するコストを削減できます。

**注記**  
AWS Firewall Manager は、リソースをモニタリングするために継続的な記録に依存します。Firewall Manager を使用している場合、記録頻度を連続に設定することをお勧めします。

## 記録対象外のリソース
<a name="select-resources-non-recorded"></a>

リソースが記録されていない場合、 はそのリソースの作成と削除のみを AWS Config キャプチャし、その他の詳細はキャプチャしません。記録されていないリソースが作成または削除されると、 は通知 AWS Config を送信し、リソースの詳細ページにイベントを表示します。記録対象外のリソースの詳細ページでは、ほとんどの設定詳細について null 値が表示され、関係や設定変更に関する情報は表示されません。

が記録済みリソース AWS Config に提供する関係情報は、記録されていないリソースのデータがないため、制限されません。記録対象のリソースが記録対象外のリソースに関連付けられている場合、その関係は記録対象のリソースの詳細ページに表示されます。

**IAM リソースタイプの考慮事項**

`AWS::IAM::User`、`AWS::IAM::Policy`、` AWS::IAM::Group`、`AWS::IAM::Role` リソースタイプは、リソースがカスタマー管理設定レコーダーに記録するリソースとして選択されているか、以前に選択されていた場合にのみ、作成 (`ResourceNotRecorded`) および削除 (`ResourceDeletedNotRecorded`) の状態をキャプチャします。

**記録対象外のリソースの CI 記録スケジュール**

`ResourceNotRecorded` および `ResourceDeletedNotRecorded` の設定項目 (CI) は、リソースタイプの一般的な記録時間に従っていません。これらのリソースタイプは、他のリソースタイプよりも頻度が低いカスタマー管理設定レコーダーの定期的なベースライニングプロセス中にのみ記録されます。つまり、作成と削除の通知は、作成時や削除時ではなく、ベースライニングプロセス中に送信されます。

**CI 配信とサービスリンクレコーダーの範囲**

サービスリンク設定レコーダーの場合、記録範囲により、配信チャネルで設定項目 (CI) を受信するかどうかが決定されます。記録範囲は、設定レコーダーにリンクされているサービスによって設定されます。記録範囲が INTERNAL の場合、配信チャネルで CI を受信しません。