Zenn
📝

AWS Configってなんだろ?

2021/05/07に公開
AWS
config
idea

AWS Config(リソースのインベントリと変更の追跡)| AWS

概要

  • AWS リソースの設定を評価、監査、審査できるサービス
  • リソースの設定が継続的にモニタリングおよび記録
  • 望まれる設定に対する記録された設定の評価を自動的に実行
  • 指定された設定に対する全体的なコンプライアンスを確認
  • コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化

メリット

  • 継続的モニタリング
  • 継続的評価
  • 変更管理
  • 運用上のトラブルシューティング
  • 企業全体でのコンプライアンスのモニタリング
  • サードパーティーリソースのサポート

ユースケース

  • 発見
  • 変更管理
  • 継続的監査とコンプライアンス
  • コードとしてのコンプライアンスフレームワーク
  • トラブルシューティング
  • セキュリティ分析

ポイント

  • リソースの設定を記録するサービス
  • 望まれる設定に対する現在の設定を評価する
  • トラブルシューティングやセキュリティ分析に使用する

よくある質問 - AWS Config | AWS

Q: AWS Config とは何ですか?

  • セキュリティとガバナンスのためのフルマネージド型のサービス
  • リソースのインベントリ、構成履歴、構成変更通知の機能を備えている
  • 特定の時点でどのようにリソースが構成されたかを判断できる

Q: Config Rule とは何ですか?

  • リソースの理想的な設定
  • 記録された関連リソースの設定変更に照らして評価される
  • 評価結果はダッシュボードで確認できる
  • どの設定変更によってリソースがルールに違反したかの特定が可能

Q: コンフォーマンスパックとは何ですか?

  • Config ルールと修復操作の集合
  • リソースがコンプライアンス違反の状態にある時間を削減

Q: AWS Config のメリットは何ですか?

  • 初期費用なしでリソースの設定を簡単に追跡できる
  • 専用ソフト等が不要

Q: AWS Config は監査にどう役立ちますか?

  • リソースの設定履歴にアクセスできる
  • 変更の原因となった可能性のある AWS CloudTrail イベントと結び付けられる
  • AWS リソースと関連リソースにもたらされた変更の影響までを完全に可視化

Q: AWS Config は AWS CloudTrail とどのように連携しますか?

  • 「リソースがどう設定されていたか」と「誰がこのリソースを変更するために API の呼び出しを実行したか」を両方検知できる

Q: 中央アカウントから複数のアカウントやリージョンのコンプライアンス情報をモニタリングできますか?

  • マルチアカウント、マルチリージョンのデータ集約機能で可能
  • Organizations とも統合されているため、組織内のすべてのアカウントからデータを集められる

Q: サービスの利用を開始するにはどうすればよいですか?

  • マネジメントコンソールで数回のクリックするだけ

Q: どうすればリソースの設定にアクセスできますか?

  • マネジメントコンソール
  • CLI
  • SDK

Q: AWS Config はリージョンごとに有効になるのですか、それとも全体で有効になるのですか?

  • アカウント内のリージョンごとに、AWS Config を有効にできる

ポイント

  • Config Ruleは理想的な設定
  • コンフォーマンスパックはConfigルールと修復操作の集合
  • CloudTrailと連携することでより多くの情報を収集できる
  • Organizationなどと連携して中央アカウントへの集約も可能
  • コンソールで有効化し、可視化できる

【はじめてのAWS】AWS Config を設定してみよう - サーバーワークスエンジニアブログ

AWS Configとは

  • マネージド型の構成管理サービス
  • AWSリソースのインベントリ、構成履歴、構成変更通知の機能を備えている
  • 構成情報や履歴を可視化
  • Configルールを設定することによりルールに従っていない構成変更が行われた際に、通知できる

ユースケース

  • コンプライアンス監査
  • セキュリティ分析
  • リソース変更の追跡
  • トラブルシューティング

料金

  • 監視項目分だけ従量課金
    • リージョン単位で記録される設定項目ごと
    • リージョン単位でのルール評価ごと
    • コンフォーマンスパックの評価数

注意事項

  • すべてのAWSリソースがサポートされている訳ではない
  • コンプライアンス違反アクションそのものを防止するものではない
    • LambdaやSystems Manager オートメーションと連携させる事によって修復までを自動化することは可能
  • Config ルールに反している状況が継続しても通知され続ける訳ではない
    • 変更があった際に通知されるのみ

ポイント

  • 非対応リソースもある
  • 自動修復は可能だが予防は不可
  • 通知は設定変更発生時のみ

コンソール

まとめ

  • リソースの設定を記録するサービス
  • 望まれる設定(Config Rule)に対する現在の設定を評価する
  • トラブルシューティングやセキュリティ分析に使用する
  • コンフォーマンスパックはConfigルールと修復操作の集合
  • CloudTrailと連携することでより多くの情報を収集できる
  • Organizationなどと連携して中央アカウントへの集約も可能
  • コンソールで有効化し、可視化できる
  • 非対応リソースもある
  • 自動修復は可能だが予防は不可
  • 通知は設定変更発生時のみ

参考になれば幸いです。

Discussion