翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS Config
AWS Config は、アカウント AWS 内の AWS リソースの設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
An AWS resource は、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、 で操作できるエンティティです。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいでサポートされているリソースタイプ AWS Config。
考慮事項
-
AWS アカウント: アクティブな が必要です AWS アカウント。詳細については、「AWSへのサインアップ」を参照してください。
-
Amazon S3 バケット: 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。
-
Amazon SNS トピック: 設定スナップショットと履歴に変更があった場合に通知を受け取るには、Amazon SNS が必要です。詳細については、「Permissions for the Amazon SNS Topic」を参照してください。
-
IAM ロール: AWS Configにアクセスするのに必要なアクセス許可を持つ IAM ロールが必要です。詳細については、「Permissions for the IAM Role」を参照してください。
-
リソースタイプ: 記録 AWS Config するリソースタイプを決定できます。詳細については、AWS 「リソースの記録」を参照してください。
使用方法 AWS Config
でアプリケーションを実行する場合 AWS、通常は AWS リソースを使用します。リソースはまとめて作成および管理する必要があります。アプリケーションの需要が増大するにつれて、 AWS リソースを追跡する必要も増えます。 AWS Config は、以下のシナリオでアプリケーションリソースを監督するのに役立つように設計されています。
リソースの管理
リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。 AWS Config を使用して、各リソースに対して行われた呼び出しをポーリングすることで、これらの変更をモニタリングすることなく、リソースが作成、変更、または削除されるたびに通知を受け取ることができます。
AWS Config ルールを使用して、 リソースの設定を評価できます AWS 。がリソースがいずれかのルールの条件に違反していること AWS Config を検出すると、 はリソースを非準拠として AWS Config フラグ付けし、通知を送信します。 AWS Config は、リソースが作成、変更、または削除されるたびにリソースを継続的に評価します。
監査とコンプライアンス
使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は によって提供されます AWS Config。
設定変更の管理とトラブルシューティング
相互に依存する複数の AWS リソースを使用すると、1 つのリソースの設定が変更されると、関連リソースに意図しない結果が生じる可能性があります。を使用すると AWS Config、変更する予定のリソースが他のリソースとどのように関連しているかを表示し、変更の影響を評価できます。
また、 AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。
セキュリティ分析
潜在的なセキュリティの弱点を分析するには、ユーザーに付与される AWS Identity and Access Management (IAM) アクセス許可や、 AWS リソースへのアクセスを制御する Amazon EC2 セキュリティグループルールなど、リソース設定に関する詳細な履歴情報が必要です。
を使用して AWS Config 、 が AWS Config 記録していた任意の時点でユーザー、グループ、またはロールに割り当てられた IAM ポリシーを表示できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。例えば、ユーザー John Doe
が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを表示できます。
AWS Config を使用して、特定の時間に開かれたポートルールなど、EC2 セキュリティグループの設定を表示することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。
パートナーソリューション
AWS は、ログ記録と分析に関するサードパーティーのスペシャリストと提携し、 AWS Config 出力を使用するソリューションを提供します。詳細については、 AWS Config の詳細ページを参照してくださいAWS Config
機能
をセットアップすると AWS Config、以下を完了できます。
リソース管理
-
記録 AWS Config するリソースタイプを指定します。
-
設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。
-
設定のストリーミング通知を送信するように Amazon SNS を設定する。
-
Amazon S3 バケットと Amazon SNS トピックにアクセスするために必要なアクセス許可 AWS Config を付与します。
詳細については、AWS 「リソース設定と履歴の表示」およびAWS 「リソース設定と履歴の管理」を参照してください。
ルールおよびコンフォーマンスパック
-
記録したリソースタイプのコンプライアンス情報を評価 AWS Config するために使用するルールを指定します。
-
適合パック、 AWS アカウントで単一のエンティティとしてデプロイおよびモニタリングできるルールの集合。
詳細については、AWS Config 「ルールとコンフォーマンスパックを使用したリソースの評価https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html」を参照してください。
修正
-
によって評価される非準拠のリソースを修正します AWS Config ルール。
詳細については、「Remediation」を参照してください。
アグリゲーター
-
アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の と AWS リージョンから AWS Config 設定 AWS アカウント とコンプライアンスのデータを 1 つのアカウントとリージョンに収集します。
詳細については、[マルチアカウントマルチリージョンのデータ集約] を参照してください。
高度なクエリ
-
サンプルクエリのいずれかを使用するか、 AWS リソースの設定スキーマを参照して独自のクエリを記述します。
詳細については、AWS 「リソースの現在の設定状態のクエリ」を参照してください。