AWS Configとは - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Configとは

AWS Config は、アカウント内の AWS リソースの設定の詳細ビューを提供します AWS 。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS リソースは、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store () ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (EBS) など、 で操作できるエンティティですVPC。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいサポートされているリソースタイプ

考慮事項

  • AWS アカウント: アクティブな が必要です AWS アカウント。詳細については、「 にサインアップ AWSする」を参照してください。

  • Amazon S3 バケット: 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。

  • Amazon SNSトピック : 設定スナップショットと履歴に変更があった場合に通知を受け取るSNSには、Amazon が必要です。詳細については、「Amazon SNSトピックのアクセス許可」を参照してください。

  • IAM ロール : にアクセスするために必要なアクセス許可を持つ IAMロールが必要です AWS Config。詳細については、IAM「ロールのアクセス許可」を参照してください。

  • リソースタイプ : 記録 AWS Config するリソースタイプを決定できます。詳細については、「リソースの記録 AWS」を参照してください。

使用方法 AWS Config

でアプリケーションを実行する場合 AWS、通常は AWS リソースを使用します。リソースは、まとめて作成および管理する必要があります。アプリケーションの需要が高まり続けるにつれて、 AWS リソースを追跡する必要も高まります。 AWS Config は、以下のシナリオでアプリケーションリソースをモニタリングするのに役立つように設計されています。

リソースの管理

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。を使用して、各リソース AWS Config に対して行われた呼び出しをポーリングすることで、これらの変更をモニタリングすることなく、リソースが作成、変更、または削除されるたびに通知できます。

AWS Config ルールを使用して、 リソースの設定を評価できます AWS 。がリソースがいずれかのルールの条件に違反していること AWS Config を検出すると、 はリソースを非準拠として AWS Config フラグ付けし、通知を送信します。 AWS Config は、リソースが作成、変更、または削除されるたびにリソースを継続的に評価します。

監査とコンプライアンス

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は によって提供されます AWS Config。

設定変更の管理とトラブルシューティング

相互に依存する複数の AWS リソースを使用すると、1 つのリソースの設定が変更されると、関連するリソースに意図しない結果が生じる可能性があります。を使用すると AWS Config、変更する予定のリソースが他のリソースとどのように関連しているかを表示し、変更の影響を評価できます。

また、 AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

セキュリティ分析

潜在的なセキュリティ上の弱点を分析するには、ユーザーに付与される AWS Identity and Access Management (IAM) アクセス許可や、 AWS リソースへのアクセスを制御する Amazon EC2 セキュリティグループルールなど、リソース設定に関する詳細な履歴情報が必要です。

を使用して AWS Config 、 が AWS Config 記録していた任意の時点でユーザー、グループ、またはロールに割り当てられたIAMポリシーを表示できます。この情報は、特定の時点でユーザーに属していたアクセス許可を決定するのに役立ちます。例えば、ユーザーが 2015 年 1 月 1 日に Amazon VPC設定を変更するアクセス許可John Doeを持っているかどうかを確認できます。

AWS Config を使用して、特定の時間に開かれたポートルールなど、EC2セキュリティグループの設定を表示することもできます。この情報は、セキュリティグループが特定のポートへの受信TCPトラフィックをブロックしたかどうかを判断するのに役立ちます。

パートナーソリューション

AWS は、ログ記録と分析に関するサードパーティーのスペシャリストと提携し、 AWS Config 出力を使用するソリューションを提供します。詳細については、 AWS Config の詳細ページを参照してくださいAWS Config

機能

をセットアップすると AWS Config、以下を完了できます。

リソース管理

  • 記録 AWS Config するリソースタイプを指定します。

  • 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。

  • 設定ストリーム通知を送信するSNSように Amazon を設定します。

  • Amazon S3 バケットと Amazon SNSトピックへのアクセスに必要なアクセス AWS Config 許可を付与します。

    詳細については、AWS 「リソース設定と履歴の表示」およびAWS 「リソース設定と履歴の管理」を参照してください。

ルールおよびコンフォーマンスパック

修正

  • によって評価される非準拠リソースを修正します AWS Config ルール。

    詳細については、「修復」を参照してください。

アグリゲーター

  • アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の および AWS リージョンから AWS Config 設定 AWS アカウント およびコンプライアンスデータを 1 つのアカウントとリージョンに収集します。

    詳細については、[マルチアカウントマルチリージョンのデータ集約] を参照してください。

高度なクエリ