削除済みの AWS Config レコーダーの設定を確認してみた
2025.02.28AWS Control Tower にアカウントを登録するときや組織として統一的な設定に変更するときなどに、AWS Config の設定を一度削除してから設定するときがあります。その作業の後に、削除済みの AWS Config レコーダーの設定を確認する方法を調べる機会がありましたのでブログにします。以前に AWS Config で記録していたサービスやオーバーライド設定していたサービスを確認できます。
確認方法は単純です。AWS Config は AWS Config レコーダー自体の設定も記憶しているため、削除されたレコーダーの以前の設定内容を確認できます。
削除済みの AWS Config レコーダーの設定を確認する
今回はマネジメントコンソールから東京リージョンの削除済み AWS Config レコーダーを確認してみます。
AWS Config の「リソース」メニューを選択してから、次の値を指定します。
- リソースタイプ:
AWS Config ConfigurationRecorder - 削除されたリソースを含める:チェックする
削除されたリソースが表示されています。もしマネジメントコンソールから AWS Config を設定していた場合は default という名前でレコーダーが作成されます。そのため、マネジメントコンソール上で AWS Config の削除と有効化を繰り返していた場合は、削除済みリソースとしては表示されずに、default の変更履歴として残っていると思われます。
リソース識別子をクリックして「リソースタイムライン」から過去のリソースの設定履歴を確認できます。この画面の「設計項目」は削除済みの状態を示しており、削除前の設定内容を示しているわけではありません。
一番上の設定変更は削除の履歴のため、その一つ前のレコードを確認することで削除直前の設定内容を確認できます。
「全レコードを表示」をクリックした先の画面における、設計項目(JSON)が設定内容となります。
今回の検証環境の削除済み設定の一例です。何回か設定変更していたため、わかりやすい設定内容を選択して掲載しています。すべてのリソースタイプを連続の記録対象としており、その中の VPC だけは日次の記録にオーバーライドしていたことがわかります。
{
"version": "1.3",
"accountId": "111122223333",
"configurationItemCaptureTime": "2025-02-22T15:13:43.086Z",
"configurationItemStatus": "OK",
"configurationStateId": "1740237223086",
"configurationItemMD5Hash": "",
"resourceType": "AWS::Config::ConfigurationRecorder",
"resourceId": "default",
"awsRegion": "ap-northeast-1",
"tags": {},
"relatedEvents": [],
"relationships": [],
"configuration": {
"Id": "default",
"Name": "default",
"RoleARN": "arn:aws:iam::111122223333:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
"RecordingGroup": {
"AllSupported": true,
"IncludeGlobalResourceTypes": true,
"ResourceTypes": [],
"ExclusionByResourceTypes": {
"ResourceTypes": []
},
"RecordingStrategy": {
"UseOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
}
},
"Recording": true,
"RecordingMode": {
"RecordingFrequency": "CONTINUOUS",
"RecordingModeOverrides": [
{
"RecordingFrequency": "DAILY",
"ResourceTypes": [
"AWS::EC2::VPC"
]
}
]
}
},
"supplementaryConfiguration": {}
}
なお、比較などのために現在の設定を取得したい場合は、AWS CloudShell で次のコマンドを実行することでも確認できます。
aws configservice describe-configuration-recorders
実行結果例です。現在はオーバーライドである recordingModeOverrides が設定されていないことがわかります。
$ aws configservice describe-configuration-recorders
{
"ConfigurationRecorders": [
{
"arn": "arn:aws:config:ap-northeast-1:111122223333:configuration-recorder/test-config-recorder/rfet8ym0rkgtmikl",
"name": "test-config-recorder",
"roleARN": "arn:aws:iam::111122223333:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig",
"recordingGroup": {
"allSupported": true,
"includeGlobalResourceTypes": true,
"resourceTypes": [],
"exclusionByResourceTypes": {
"resourceTypes": []
},
"recordingStrategy": {
"useOnly": "ALL_SUPPORTED_RESOURCE_TYPES"
}
},
"recordingMode": {
"recordingFrequency": "CONTINUOUS",
"recordingModeOverrides": []
},
"recordingScope": "PAID"
}
]
}
以上、削除した AWS Config レコーダー設定の確認方法でした。
このブログがどなたかのご参考になれば幸いです。
