MENU

AWS Configとは何か?できることや利点についてもあわせて解説

AWS Configとは何か?

AWS Configとは、AWSアカウントにあるAWSリソースの設定を評価、監査、審査できるサービスのことです。AWS Configでは、AWSリソースの設定が継続的にモニターされ記録されています。

 

希望した設定に対する設定の評価を自動的に実行できますので、AWS Configを使用することで、AWSリソース間の設定や関連性の変更を確認が可能です。

 

リソース設定履歴を詳細に調べて、社内ガイドラインで指定された設定での全体的なコンプライアンスを確認できます。そのためコンプライアンス監査・セキュリティ分析・変更管理、そして運用上のトラブルシューティングを簡単に行えます。

AWS Configの利点について6つ

AWS Configの利点について6つ紹介します。AWS Configの利点には、変更や管理ができること、継続的なモニタリングで記録できること、状態の評価を継続的に行えること、サードパーティーのリソース管理が実施できることがあります。

 

また、それに加えてAWS Configの利点として、企業全体のコンプライアンスが保てること、トラブルに対しての問題解決に使えることがあります。

1:変更や管理ができる

AWS Configの利点には、変更や管理ができることがあります。AWS Configを使用することで、リソース間の関連性を追跡できますので、リソースを変更する前に依存関係を確認することが可能です。

 

変更が発生すると、リソース設定の履歴を確認することで、任意の時点でリソースの設定の状況を確認できます。AWS Configはリソース設定の変更がユーザーの他のリソースへの影響度合いを評価することができるため、変更による影響を最小限に抑えることが可能です。

2:継続的なモニタリングで記録できる

AWS Configの利点には、継続的なモニタリングで記録できることがあります。AWS Configを使用することで、AWSリソースの設定変更を継続的に記録できます。

 

また、AWS Configを使うことにより、AWSリソースや、AWSリソースの設定、そしてEC2インスタンス内のソフトウェア設定をいつでも知ることができます。

 

継続的にモニタリングされているので、変更が検出されるといつでも、Amazon Simple Notification Service(SNS)通知によって、使用者に連絡され確認のうえ実行できます。

3:状態の評価を継続的に行える

AWS Configの利点には、状態の評価を継続的に行えることがあります。AWS Configを使用することで、利用者のAWSリソースの設定や企業ポリシーとガイドラインとの全体的なコンプライアンスが継続的に監査されて評価されます。

 

AWS ConfigはAWSリソースの設定のルールを定義することでコンプライアンス改善アクションと一緒にパッケージ化されて行われます。1回の作業で組織全体に適用でき、ルールに適合しないリソース設定や設定変更が生じると自動的に通知されます。

 

通知自体はAmazon Simple Notification Service(SNS)通知やAmazon CloudWatch Events により行われるために、継続的に通知されることになります。また、AWS Configのダッシュボードを使えば、全体的なコンプライアンス状況を確認することができます。

4:サードパーティーのリソース管理が実施できる

AWS Configの利点には、サードパーティーのリソース管理が実施できることがあります。サードパーティーリソースのサポートは、AWS Configの機能として提供されていて、AWS とサードパーティーのリソースの両方の設定監査やコンプライアンスの確認ができます。

 

AWS Config自体が検証を行うツールとして作られていて、GitHubリポジトリやMicrosoft Active Directoryリソース、そしてオンプレミスサーバーなどのサードパーティーリソースの設定を確認できます。

 

AWS Config コンソールとAPIを使用することで、設定履歴などを表示することができます。また、AWS Configルールなどを作ることで、内部ポリシーや規制ポリシーからサードパーティーリソースの評価を行います。

5:企業全体のコンプライアンスが保てる

AWS Configの利点には、企業全体のコンプライアンスが保てることがあります。AWS Configでのマルチアカウント、マルチリージョンのデータ集約が行えますので、企業全体でのコンプライアンスの確認ができます。

 

AWS Configにより、企業全体でのコンプライアンスの状況がダッシュボードに表示されますので、コンプライアンスの保たれていないアカウントを確認できます。さらに、特定のアカウントのステータスについて詳細に確認できます。

 

AWS Configコンソールから見ることが可能なので、アカウントやリージョンごとに調べる必要がありません。

6:トラブルに対しての問題解決ができる

AWS Configの利点には、トラブルに対しての問題解決ができることがあります。AWS Configを使用することで、AWSリソースの設定変更における全体的な履歴を取得できるために、運用上の問題に関するトラブルシューティングを行うことが容易になります。

 

AWS Configでは、使用者のアカウントに対するイベントを記録するサービスであるAWS CloudTrailと統合することで、運用上の問題の原因を特定が可能になります。

 

AWS ConfigはCloudTrailの記録を使って、アカウント内の設定変更と特定のイベントが関連付けられていますので、変更が行われたイベントであるAPIコールの詳細を、CloudTrailログから得ることができ、運用上のトラブルシューティングを調べられます。

AWS Configでできることについて6つ

AWS Configでできることについて6つ紹介します。AWS Configでできることの1つに、リソース設定の変更や管理が行えること、リソース設定を比較して評価できること、リソース同士の関係表示ができることがあります。

 

他にもAWS Configでできることには、リソース設定履歴を一覧で見られること、複数のリソース設定を取得できること、そして記録対象のスナップショットを見ることができることがあります。

1:リソース設定の変更や管理が行える

AWS Configでできることには、リソース設定の変更や管理が行えることがあります。AWS Configを使用することで、Amazon EC2インスタンスやオンプレミスで稼働しているサーバーで動いているソフトウェアの設定変更の履歴を記録できます。

 

また、他のクラウドプロバイダーによって提供されるサーバーや仮想マシンで実行されるソフトウェアの設定変更でも記録されます。AWS Configによりオペレーティングシステム(OS)の設定変更や、システムレベルの設定変更が履歴として記録されます。

 

さらにはインストールしているアプリケーションや、ネットワーク設定などに対しても調べることが可能になります。

2:リソース設定を比較して評価できる

AWS Configでできることには、リソース設定を比較して評価できることがあります。AWS Configでは、AWSのリソースや管理された状況で動いているソフトウェア、そしてサーバーの上で動いているソフトウェアを評価するツールがあります。

 

利用者は、AWS Configに用意されたルールを設定し直すことで、AWSリソースの設定変更が可能になり、リソース設定に関するガイドライン自体を定義するカスタムルールをAWS Lambdaで自由に作れます。

 

AWS Configのルールをカスタマイズして使用すれば、リソースの設定や変更を評価し新たなルールやカスタムルールに合っているかを確認することができます。

3:リソース同士の関係表示ができる

AWS Configでできることには、リソース同士の関係表示ができることがあります。AWS Configは、アカウント内のAWSリソース関係を検出して追跡できます。

 

新しいAmazon EC2セキュリティグループを作成した際にAmazon EC2インスタンスと関連付けられた場合には、リソース間の関係を追跡して、AWS ConfigはAmazon EC2セキュリティグループとAmazon EC2インスタンスの両方の設定の更新が同時に記録されます。

4:リソース設定履歴を一覧で見られる

AWS Configでできることには、リソース設定履歴を一覧で見られることがあります。AWS ConfigはAWSリソースの変更の詳細を記録して、設定履歴を確認できるようにしてくれます。

 

AWSマネジメントコンソールやAPI、そしてCLIを使用することで、過去のいつの時点でもリソースがどのように設定されていたかについての、AWSリソースの設定履歴の詳細を調べられます。

 

また、AWS Configを使うことで、指定したAmazon S3バケットに設定履歴ファイルが自動的に送信記録されます。

5:複数のリソース設定を取得できる

AWS Configでできることには、複数のリソース設定を取得できることがあります。AWS Configの機能には、マルチアカウントやマルチリージョンでのデータ集約をすることができ、監査とガバナンスを可能にしてくれます。

 

このAWS Configの機能では、社内全体にわたる利用者のAWS Configルールでのコンプライアンス状況が確認できAWS Organizationとして迅速にアカウントに追加します。

 

AWS Confiのコンソール画面には組織全体でのコンプライアントルールに合っていないルールの総数や、コンプライアントルールに適合していない上位の5個、さらにはコンプライアントルールに適合していないAWSアカウントの上位5個が示されます。

 

そして、マルチアカウント、マルチリージョンでのデータ集約により、ルールに違反しているリソースの詳細や、アカウントごとに違反しているルールのリストを表示することができます。

6:記録対象のスナップショットを手に入れられる

AWS Configでできることには、記録対象のスナップショットを手に入れられることがあります。設定のスナップショットとは、AWS Configは、設定のスナップショットとして、その時点におけるすべてのリソースおよびリソースの設定が取得できます。

 

設定のスナップショットはAWS CLIやAPIによりオンデマンドで作られて、指定したAmazon S3バケットにより送信されます。

AWS Configの監視方法5つ

AWS Configの監視方法を5つ紹介します。AWS Configの監視方法には、変更前における管理があり、組織のコンプライアンス監査も可能で、リソース設定を任意のタイミングで評価できる方法が提供されます。

 

さらにAWS Configの監視により、セキュリティの脆弱性を分析できること、根本原因の特定ができることがあります。この後、AWS Configの機能を使ってコンプライアンスを確認する方法をはじめ詳細な設定方法などを紹介していきます。

1:変更前における管理

AWS Configの監視方法には、変更前における管理があります。複数の相互に関係するAWSリソースを使っている場合には、1つのリソースの設定変更により他の関連リソースに影響を与えることがあります。

 

AWS Configでは他のリソースとの関連性を確認して変更管理をしますので、リソースを変更する前に、変更することによる影響を評価することができます。

2:組織のコンプライアンス監査

AWS Configの監視方法には、組織のコンプライアンス監査があります。AWS Configの監視方法を使って、組織のコンプライアンス監査を行うには、AWS Config適合パックを使用します。

 

適合パックを使用するにはAWS Configの記録をオンにして、さらに適合パックのサービスリンクロールが作られていてAmazon S3がコンプライアンス結果が保存や配信ができるように設定しておいてください。

 

YAMLで記述されたサンプルテンプレートを使うと、コンプライアンス監査を簡素化できますし、修復アクションも同時に行う場合には、権限を持つサービスリンクロールの作成も必要です。

3:リソース設定を任意のタイミングで評価できる

AWS Configの監視方法には、リソース設定を任意のタイミングで評価できることがあります。AWS Configのカスタムルールを設定することで、評価を行う方法を選ぶことができます。

 

評価の1つは定期的に行う方法で、指定した任意の間隔でルールが評価されます。そして、もう一つの評価方法は設定変更がなされたときに評価される方法で、新たなリソースが作成や変更、そして削除されたときにルールが自動的に評価されます。

4:セキュリティの脆弱性を分析できる

AWS Configの監視方法には、セキュリティの脆弱性を分析できることがあります。AWS Configによりセキュリティの脆弱性を分析するために、IAMやセキュリティグループルールを作り、AWSリソースへのアクセス制御に関係する設定を行うことになります。

 

AWS Configの記録を見れば、IAMのuserやgroupなどに割り当てられたIAM policyを確認し、この情報を使用して特定の期間にユーザー所有のアクセス権限の調査が行えます。

5:根本原因の特定ができる

AWS Configの監視方法には、根本原因の特定ができることがあります。AWS Configの監視方法を使うことで、トラブルシューティングが可能になります。

 

AWS ConfigをCloudTrailと統合すれば、詳細な設定変更の追跡が可能になりますので、運用で起こったトラブルの根本原因の特定をすることができます。

 

AWS Configコンソールには、設定を記録した日付と時刻が、設定タイムライン記録として表示されます。また、CloudTrail eventsの画面では、CloudTrailの取得データを確認することができますので、トラブルの生じた時間が特定できます。

AWS Configの気を付ける点について3つ

AWS Configの気を付ける点について3つ紹介します。AWS Configの気を付ける点として、まず1つは、コンプライアンス違反を監視できますが防止できるものではないということです。

 

AWS Configの気を付ける点として、他にはAWS Configのルール違反状況の通知は継続してはい粉えないことがあります。そしてAWSリソースのすべてのサポートはされていないことにも注意が必要です

1:コンプライアンス違反そのものを防止できるものではない

AWS Configの気を付ける点について、コンプライアンス違反そのものを防止できるものではないことがあります。AWSリソース変更履歴を記録していますので、指定したルールに反する変更があった際に通知する事ができます。

 

しかし通知して知らせることはできますが、コンプライアンス違反自体を防止するものではありませんので、コンプライアンス違反の対処や予防策は別に管理者側が実施する必要があります。

 

出典:AWS Configルールによる非準拠のAWSリソースの修復|AWS
URL:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html

2:AWS Configのルール違反状況を継続通知は続かない

AWS Configの気を付ける点について、AWS Configのルール違反状況の継続通知は続かないことがあります。AWS Configのルール違反については、起きた場合に通知されますが、その状況が続いていても通知され続けません。

 

そのため、AWS Configルールに反している状況が継続しても、通知が続くわけではないので、運用側が違反の修正などを行う必要があります。

3:AWSリソースのすべてのサポートはされていない

AWS Configの気を付ける点について、AWSリソースのすべてのサポートはされていないことがあります。

 

AWS Configでは、専有ホストなどで動いているインスタンスの設定詳細を記録していますので、サーバーでのソフトウェアライセンスへのコンプライアンスを記録するときは、AWS Configをデータソースとして使用可能です。

 

しかしAWSリソースがすべてサポートされている訳ではないので注意してください。

 

出典:AWS Configでサポートされているリソースタイプとリソース関係|AWS
URL:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-reference.html#supported-resources

AWS Configについて理解を深めよう

AWS Configについて理解を深めることで、AWS Configのサービスを活用することができます。AWS Configを活用したい利用者は、AWSが提供する情報を利用することで使い始めることができます。

 

AWS Configを利用する費用の見積もりが欲しい場合は、ホームページで公開されていますので調べることができます。さらに、AWS Configを利用し始めるにあたり分からない場合は、AWSが公開している開発者ガイドによりセットアップ手順が分かります。

 

そして、運用して困ったときや使い方が分からない場合にも、AWSサービスのマニュアルであるAPIリファレンスやFAQから調べることができます。