AWS Config とは? - AWS Config

AWS Config とは?

AWS Config は、AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS リソースは、ユーザーが AWS で操作できるエンティティで、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) などがあります。AWS Config でサポートされている AWS リソースの詳細なリストについては、「サポートされているリソースタイプ」を参照してください。

機能

AWS Config を設定すると、以下の操作を実施できます。

リソース管理

  • AWS Config で記録するリソースタイプを指定する。

  • 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。

  • 設定のストリーミング通知を送信するように Amazon SNS を設定する。

  • Amazon S3 バケットと Amazon SNS トピックへのアクセス許可を AWS Config に付与する。

    詳細については、「AWS リソースの設定および履歴の表示」および「AWS リソースの設定および履歴の管理」を参照してください。

ルールおよびコンフォーマンスパック

  • 記録済みのリソースタイプのコンプライアンス情報を評価するために AWS Config で使用するルールを指定する。

  • コンフォーマンスパック、AWS Config アカウントで単一のエンティティとしてデプロイおよびモニタリングできる AWS ルールと修復アクションの集合。

    詳細については、「AWS Config ルールを使用したリソースの評価」をおよび「コンフォーマンスパック」参照してください。

アグリゲーター

  • アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲーターは、複数のAWS アカウントと AWS リージョンから AWS Config設定データとコンプライアンスデータを収集する AWS Config のリソースタイプです。

    詳細については、[マルチアカウントマルチリージョンのデータ集約] を参照してください。

高度なクエリ

  • サンプルクエリのいずれかを使用するか、AWS リソースの構成スキーマを参照して独自のクエリを作成します。

    詳細については、[AWS リソースの現在の設定状態のクエリ] を参照してください。

AWS Config を使用する方法

通常、AWS でアプリケーションの実行時に使用する AWS リソースは一括して作成し管理する必要があります。アプリケーションの需要が増えるに従って、AWS リソースを追跡する作業も増大します。AWS Config は、以下の目的でアプリケーションのリソースを監視します。

リソースの管理

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。AWS Config では、各リソースに対する呼び出しをポーリングして、リソースが作成、変更、削除されるたびに通知が送信されるため、これらの変更をモニタリングする必要がありません。

AWS Config のルールを使用して、AWS リソースの設定を評価できます。AWS Config でルールの条件に違反しているリソースが検出されると、AWS Config によってそのリソースに非準拠のフラグが付けられ、通知が送信されます。また、AWS Config はリソースの作成、変更、または削除を継続的に評価します。

監査とコンプライアンス

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は AWS Config から提供されます。

設定変更の管理とトラブルシューティング

複数の相互に依存する AWS リソースを使用している場合、1 つのリソースの設定変更が他の関連リソースに予期しない影響を及ぼすことがあります。AWS Config では、リソースを変更する前に他のリソースとの関連性を確認し、変更の影響を判断できます。

また、AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

セキュリティ分析

セキュリティの潜在的な脆弱性を分析するには、ユーザーに付与されている AWS Identity and Access Management (IAM) アクセス許可や、リソースへのアクセスを制御する Amazon EC2 セキュリティグループのルールなど、AWS リソースの設定に関する詳細な履歴情報が必要です。

AWS Config が記録していた期間内であれば、AWS Config を使用して、IAM のユーザー、グループ、またはロールに割り当てられた IAM ポリシーを確認できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。例えば、ユーザー John Doe が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを表示できます。

AWS Config では、特定の時間に開いていたポートのルールなど、EC2 セキュリティグループの設定を確認することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。