AWS Configは、AWSリソースの設定変更を追跡、評価、監査を行うためのサービスです。
このサービスを利用すると、リソースの設定がどのように変更されたかを詳細に把握することができ、セキュリティ、コンプライアンスの維持に役立ちます。
例えば、EC2インスタンスにアタッチされたセキュリティグループの設定が変更された場合にその変更履歴を記録し、誰がいつ変更を加えたのかを追跡することができます。
本記事では、AWSの「AWS Config」について記載します。
主な機能と利点
AWS Configの機能と、このサービスを使用することによる利点について、以下に記載します。
リソースの変更履歴の記録
AWS Configは、AWSリソースの設定変更を自動的に記録します。これにより、リソースの設定がどのように変化したのかを詳細に把握することができます。
例えば、EC2インスタンスにアタッチされたセキュリティグループの設定が変更された場合に、その変更内容と日時を記録することができます。
「開始」には設定変更前の情報が記載され、「終了」には設定変更後の情報が記載されます。
設定の評価
AWS Configは、リソースの設定が組織のポリシーやコンプライアンスの要件に準拠しているかを評価します。これにより、設定の不備や違反を早期に検出することができ、事故を未然に防ぐことができます。
例えば、S3バケットが暗号化されているかを定期的にチェックすることができます。
リソースの関係性の可視化
AWS Configは、AWSリソース間の関係性を表示します。これにより、リソースの依存関係や影響範囲を把握することができます。
例えば、VPC内のセキュリティグループ、EC2インスタンス、インターネットゲートウェイ、ルートテーブルなどの関係性をJSON形式で確認することができます。
AWS Configがサポートしているリソース
以下、AWS Configがサポートしているリソースの一例になります。
| AWSサービス | リソースタイプ |
| Amazon EC2 | インスタンス、セキュリティグループ、EIP、VPC、サブネット |
| Amazon S3 | バケット、バケットポリシー |
| AWS Lambda | 関数、エイリアス、バージョン |
| Amazon RDS | DBインスタンス、DBスナップショット、DBサブネットグループ |
| Amazon CloudFront | ディストリビューション、オリジンアクセスアイデンティティ |
| Amazon API Gateway | ステージ、REST API、API Gateway V2 |
| Amazon CloudWatch | アラーム、メトリクスストリーム |
| Amazon Cognito | ユーザープール、ユーザープールクライアント |
| AWS IAM | ユーザー、グループ、ロール、ポリシー |
| Amazon DynamoDB | テーブル、グローバルテーブル |
その他のサポートされているAWSサービスのリソースについては、AWS公式ドキュメントを参照してください。
AWS Configと他AWSサービスの連携
AWS Configは他のAWSサービスと連携することで、AWS Config単独では実現することのできなかった機能を実現することができます。
以下に、一例を記載いたします。
AWS CloudTrailとの連携
AWS CloudTrailと連携をすることで、リソースの設定変更をリアルタイムで監視し、迅速な対応が可能になります。
AWS Lambdaとの連携
AWS Lambdaと連携することで、カスタムルールや自動修復のアクションを実行し、問題を自動的に解決することができます。
Amazon SNSとの連携
Amazon SNSと連携することで、設定の変更やコンプライアンス違反が発生した際に、自動的に通知を受け取ることができます。
最後に
今回は、AWS Configというサービスについて記載いたしました。
セキュリティグループ等、つい見落としてしまいそうな細かな設定の欠陥をいち早く見つけることができる点や、他のAWSサービスと連携をすることでより精度の高い機能を実現できる点に、とても魅力を感じました。
