AWS Config のアイコン

AWS Config

AWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス

約 1 分で読めます

何ができるか

AWS Config は、AWS リソースの構成情報を継続的に記録し、設定変更の履歴を追跡するサービスです。「いつ、誰が、何を変更したか」を時系列で確認でき、リソースの構成がセキュリティポリシーやコンプライアンス基準に準拠しているかをルールベースで自動評価します。ルールに違反するリソースを検出した場合、通知や自動修復アクションを実行できます。

どのような場面で使うか

「すべての S3 バケットでパブリックアクセスがブロックされているか」「すべての EBS ボリュームが暗号化されているか」といったセキュリティポリシーの準拠状況を継続的に監視する場面で活用されています。また、コンプライアンス監査で「過去 6 か月間のセキュリティグループの変更履歴」を提出する場面や、意図しない構成変更を検知してアラートを発報する場面でも利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

建物の定期点検に例えるとわかりやすいでしょう。点検員 (Config) が建物 (AWS 環境) を巡回し、消火器の設置状況、非常口の確保、電気設備の状態などをチェックリスト (Config ルール) に基づいて確認します。基準を満たしていない箇所があれば報告し、改善を促します。さらに、過去の点検記録も保管しているため、いつ何が変わったかを遡って確認できます。

Config とは

AWS Config は、AWS リソースの構成を継続的に記録・評価するサービスです。EC2 インスタンス、セキュリティグループ、S3 バケット、IAM ポリシーなど、AWS 上のリソースの設定内容を自動的に記録します。リソースの構成が変更されるたびにスナップショットが保存されるため、任意の時点の構成状態を確認できます。

Config ルールによるコンプライアンス評価

Config ルールは、リソースの構成が特定の条件を満たしているかを自動的に評価する仕組みです。AWS が提供するマネージドルール (300 種類以上) を使えば、設定なしですぐに評価を開始できます。たとえば「S3 バケットのパブリックアクセスがブロックされているか」「EC2 インスタンスに特定のタグが付いているか」などのルールがあります。独自の評価ロジックが必要な場合は、Lambda 関数でカスタムルールを作成できます。

自動修復と通知

Config ルールに違反するリソースが検出された場合、自動修復アクションを設定できます。たとえば、暗号化されていない EBS ボリュームが検出されたら、自動的に暗号化を有効にする SSM Automation ドキュメントを実行できます。また、SNS トピックに通知を送信して管理者にアラートを発報することも可能です。これにより、セキュリティポリシーからの逸脱を迅速に検知・修正できます。

はじめかた

Config を使い始めるには、Config コンソールでセットアップウィザードを実行します。記録対象のリソースタイプを選択し、構成履歴の保存先 S3 バケットを指定します。次に、評価したい Config ルールを選択して有効にします。マネージドルールの中から自社のセキュリティポリシーに合ったものを選ぶだけで、コンプライアンスの継続的な監視が始まります。

注意点

  • Config は記録対象のリソース数と Config ルールの評価回数に応じて課金される。記録対象を必要なリソースタイプに絞ることでコストを最適化できる
  • Config ルールの評価結果は「準拠」「非準拠」の 2 値。非準拠の原因を特定するには、リソースの構成詳細を確認する必要がある
  • AWS Organizations と連携して組織全体の Config ルールを一元管理できる。マルチアカウント環境ではアグリゲーターを使って全アカウントのコンプライアンス状況を集約すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

AWS AppFabric のアイコン AWS AppFabric SaaS アプリケーションの監査ログを標準化して集約するサービス AWS AppConfig のアイコン AWS AppConfig アプリケーションの設定を安全にデプロイ・管理するサービス AWS Chatbot のアイコン AWS Chatbot Slack や Microsoft Teams で AWS リソースの通知と操作を行うインタラクティブエージェント AWS CloudFormation のアイコン AWS CloudFormation テンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービス AWS CloudTrail のアイコン AWS CloudTrail AWS アカウントの API アクティビティを記録・監視するサービス Amazon CloudWatch のアイコン Amazon CloudWatch AWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス AWS Control Tower のアイコン AWS Control Tower マルチアカウント環境のセットアップとガバナンスを自動化するサービス Amazon CloudWatch RUM のアイコン Amazon CloudWatch RUM Web アプリケーションのリアルユーザーモニタリングでクライアント側のパフォーマンスとエラーを収集するサービス AWS Health Dashboard のアイコン AWS Health Dashboard AWS サービスの稼働状況とアカウントに影響するイベントを表示するダッシュボード Amazon CloudWatch Internet Monitor インターネット経由のアプリケーションパフォーマンスと可用性を監視するサービス Amazon Managed Grafana のアイコン Amazon Managed Grafana Grafana のマネージドサービスで、AWS データソースの可視化とダッシュボード構築を提供する Amazon Managed Service for Prometheus のアイコン Amazon Managed Service for Prometheus Prometheus 互換のマネージドモニタリングサービスで、コンテナメトリクスの収集・クエリ・アラートを提供する AWS Marketplace のアイコン AWS Marketplace サードパーティソフトウェアの検索・購入・デプロイを提供するデジタルカタログ AWS Organizations のアイコン AWS Organizations 複数の AWS アカウントを一元管理するサービス AWS Resilience Hub のアイコン AWS Resilience Hub アプリケーションの耐障害性を評価し、復旧目標の達成状況を可視化するサービス AWS Service Catalog のアイコン AWS Service Catalog 承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービス AWS Service Quotas AWS サービスのクォータ (上限値) を一元管理し、引き上げリクエストを行うサービス AWS Systems Manager Parameter Store のアイコン AWS Systems Manager Parameter Store 設定データやシークレットを安全に格納・管理する階層型ストア AWS Systems Manager のアイコン AWS Systems Manager AWS リソースとオンプレミスサーバーを一元管理できる運用管理サービス AWS Trusted Advisor のアイコン AWS Trusted Advisor AWS 環境のコスト最適化、パフォーマンス、セキュリティ、耐障害性をチェックし改善を推奨するサービス AWS Well-Architected Tool のアイコン AWS Well-Architected Tool AWS Well-Architected フレームワークに基づいてワークロードのアーキテクチャをレビューするツール AWS X-Ray のアイコン AWS X-Ray 分散アプリケーションのリクエストをトレースし、パフォーマンスのボトルネックを特定するサービス