AWS Config
AWS リソースの設定変更を記録・評価し、コンプライアンスを維持するサービス
何ができるか
AWS Config は、AWS リソースの設定を継続的に記録し、設定変更の履歴を追跡するサービスです。リソースの現在の設定状態を可視化し、あらかじめ定義したルールに基づいて設定がコンプライアンスに準拠しているかを自動的に評価します。設定変更が発生するたびに記録が作成されるため、いつ、誰が、何を変更したかを後から確認でき、セキュリティ監査やトラブルシューティングに活用できます。
どのような場面で使うか
セキュリティグループの設定変更の追跡と不正な変更の検知、S3 バケットのパブリックアクセス設定の監視、EC2 インスタンスに必要なタグが付与されているかの確認、暗号化が有効になっていないリソースの検出、コンプライアンス監査のための設定履歴レポートの生成など、AWS リソースのガバナンスとコンプライアンス管理に利用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
ビルの防犯カメラと警備員に例えるとわかりやすいでしょう。防犯カメラ (Config) がビル内のすべての出入りや変更を 24 時間記録し、警備員 (Config ルール) が不審な動き (ルール違反) を検知したら即座に通報します。過去の映像を遡って確認することもでき、何が起きたかを正確に把握できます。
Config とは
AWS Config は、AWS リソースの設定管理とコンプライアンス評価を行うサービスです。EC2 インスタンス、セキュリティグループ、S3 バケット、IAM ポリシーなど、300 以上の AWS リソースタイプの設定を自動的に記録します。設定変更が発生するたびにスナップショットが作成され、リソースの設定履歴をタイムラインで確認できます。CloudTrail が API コールの履歴を記録するのに対し、Config はリソースの設定状態の変化を記録する点が異なります。
Config ルール
Config ルールは、リソースの設定がポリシーに準拠しているかを自動的に評価する仕組みです。AWS が提供する 300 以上のマネージドルール (例: S3 バケットのパブリックアクセスブロック、EBS ボリュームの暗号化、セキュリティグループの SSH 制限) を利用するか、Lambda 関数でカスタムルールを作成できます。ルール違反が検出されると、リソースが「非準拠」としてマークされ、SNS 通知や自動修復アクションをトリガーできます。
コンフォーマンスパック
コンフォーマンスパックは、複数の Config ルールと修復アクションをまとめたテンプレートです。CIS AWS Foundations Benchmark、PCI DSS、HIPAA など、業界標準のコンプライアンスフレームワークに対応したパックが提供されており、数クリックで包括的なコンプライアンスチェックを導入できます。Organizations と連携すれば、組織内の全アカウントに一括でコンフォーマンスパックを展開できます。
料金体系
Config の料金は、記録される設定項目数と Config ルールの評価回数に基づきます。設定項目の記録は 1 件あたり 0.003 USD、Config ルールの評価は 1 評価あたり 0.001 USD です。コンフォーマンスパックの評価は 1 評価あたり 0.0012 USD です。リソース数が少ない環境であれば月額数ドル程度で運用でき、コンプライアンス違反による損害と比較すれば極めて低コストです。
Azure・オンプレミスとの比較
AWS の優位点
- 300 以上の AWS リソースタイプの設定変更を自動記録し、任意の時点のリソース設定を再現できるため、変更管理とトラブルシューティングの効率が大幅に向上する
- CIS、PCI DSS、HIPAA など業界標準のコンフォーマンスパックが提供されており、コンプライアンスフレームワークへの準拠を数クリックで開始できる
- Config ルール違反の検出から Systems Manager Automation による自動修復まで、検知と対応のループを AWS サービスの組み合わせで完全自動化できる
注意点
- Config を有効にすると設定項目の記録が開始され、リソース数に応じた料金が発生する。不要なリソースタイプは記録対象から除外してコストを最適化すること
- Config ルールの自動修復機能を使う場合、意図しない変更が行われないよう、まずは検知のみのモードで運用し、十分にテストしてから自動修復を有効にすること
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。