【AWS】AWS Configを初期化する方法

AWS Configは、設定変更を監視・記録する重要なサービスです。
AWS Security Hubを有効にするにはAWS Configの有効化が必須であり、セキュリティ対策においてAWS Configは避けて通れない非常に重要なサービスと言えます。

今回の記事では、AWS Configのセットアップ方法ではなく、無効化（初期化）する方法について解説します。

AWS Configの初期化方法

AWS Configの初期化は簡単にできそうに思えますが、実はコンソール上には無効化のボタンが用意されていません。
Security Hubには無効化ボタンがある一方で、AWS Configには存在しないのです。
実際に「設定」画面を見ても、無効化や初期化に関するボタンは表示されていません

AWS Configの初期化方法は、　CloudShellを起動し、以下のコマンドを入力するだけです。

# レコーダー停止
aws configservice stop-configuration-recorder \
  --configuration-recorder-name default

# 配信チャネル削除
aws configservice delete-delivery-channel \
  --delivery-channel-name default

# レコーダー削除
aws configservice delete-configuration-recorder \
  --configuration-recorder-name default

# レコーダー停止
aws configservice stop-configuration-recorder \
  --configuration-recorder-name default

# 配信チャネル削除
aws configservice delete-delivery-channel \
  --delivery-channel-name default

# レコーダー削除
aws configservice delete-configuration-recorder \
  --configuration-recorder-name default

そうすると、以下のセットアップの画面が表示されます。

以上がAWS Configを初期化する方法でした。

レコーダーと配信チャネルとは？

AWS Configでは、「レコーダー」と「配信チャネル」というワードがが出てきたので、自学のためにもまとめたいと思います。

レコーダとは「何を記録するか」を決めて実際に集める存在

レコーダーは、AWS リソースの構成変更を検知する存在です。例）EC2 が作られた、SG のルール変わった

配信チャネルは「記録したデータをどこに送るか」を決める存在

レコーダーで検知した情報をは、配信チャネルよってS3やSNSなどに配信します。

まとめると、こんなフローです。

AWSリソース変更
      ↓
レコーダ（検知・収集）
      ↓
配信チャネル（S3へ保存、通知）

AWSリソース変更
      ↓
レコーダ（検知・収集）
      ↓
配信チャネル（S3へ保存、通知）

どっちか欠けるとどうなる？