AWS Configとは - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Configとは

AWS Config は、アカウント内の AWS リソースの設定の詳細ビューを提供します AWS 。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS リソースは、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、 で操作できるエンティティです。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいサポートされているリソースタイプ

考慮事項

  • AWS アカウント: アクティブな が必要です AWS アカウント。詳細については、「 にサインアップ AWSする」を参照してください。

  • Amazon S3 バケット: 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。

  • Amazon SNS トピック: 設定スナップショットと履歴に変更があった場合に通知を受け取るには、Amazon SNS が必要です。詳細については、Amazon SNSトピックのアクセス許可」を参照してください。

  • IAM ロール : へのアクセスに必要なアクセス許可を持つ IAM ロールが必要です AWS Config。詳細については、「IAM ロールのアクセス許可」を参照してください。

  • リソースタイプ : 記録 AWS Config するリソースタイプを決定できます。詳細については、AWS 「リソースの記録」を参照してください。

使用方法 AWS Config

でアプリケーションを実行する場合 AWS、通常は AWS リソースを使用します。リソースは、まとめて作成および管理する必要があります。アプリケーションの需要が高まり続けるにつれて、 AWS リソースを追跡する必要も高まります。 AWS Config は、以下のシナリオでアプリケーションリソースをモニタリングするのに役立つように設計されています。

リソースの管理

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。を使用して、各リソース AWS Config に対して行われた呼び出しをポーリングすることで、これらの変更をモニタリングすることなく、リソースが作成、変更、または削除されるたびに通知できます。

AWS Config ルールを使用して、 リソースの設定を評価できます AWS 。がリソースがいずれかのルールの条件に違反していること AWS Config を検出すると、 はリソースを非準拠として AWS Config フラグ付けし、通知を送信します。 AWS Config は、リソースが作成、変更、または削除されるたびにリソースを継続的に評価します。

監査とコンプライアンス

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は によって提供されます AWS Config。

設定変更の管理とトラブルシューティング

相互に依存する複数の AWS リソースを使用すると、1 つのリソースの設定が変更されると、関連リソースに意図しない結果が生じる可能性があります。を使用すると AWS Config、変更する予定のリソースが他のリソースとどのように関連しているかを表示し、変更の影響を評価できます。

また、 AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

セキュリティ分析

潜在的なセキュリティ上の弱点を分析するには、ユーザーに付与される AWS Identity and Access Management (IAM) アクセス許可や、 AWS リソースへのアクセスを制御する Amazon EC2 セキュリティグループルールなど、リソース設定に関する詳細な履歴情報が必要です。

を使用して AWS Config 、 が記録していた任意の時点でユーザー、グループ、またはロールに割り当てられた IAM AWS Config ポリシーを表示できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。例えば、ユーザー John Doe が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを表示できます。

を使用して AWS Config 、特定の時間に開かれたポートルールなど、EC2 セキュリティグループの設定を表示することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。

パートナーソリューション

AWS は、ログ記録と分析に関するサードパーティーのスペシャリストと提携し、 AWS Config 出力を使用するソリューションを提供します。詳細については、 AWS Config の詳細ページを参照してくださいAWS Config

機能

をセットアップすると AWS Config、以下を完了できます。

リソース管理

  • 記録 AWS Config するリソースタイプを指定します。

  • 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。

  • 設定のストリーミング通知を送信するように Amazon SNS を設定する。

  • Amazon S3 バケットと Amazon SNS トピックへのアクセスに必要なアクセス AWS Config 許可を付与します。

    詳細については、AWS 「リソース設定と履歴の表示」およびAWS 「リソース設定と履歴の管理」を参照してください。

ルールおよびコンフォーマンスパック

アグリゲーター

  • アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の および AWS リージョンから AWS Config 設定 AWS アカウント およびコンプライアンスデータを 1 つのアカウントとリージョンに収集します。

    詳細については、[マルチアカウントマルチリージョンのデータ集約] を参照してください。

高度なクエリ