目次
AWS Config の特徴
AWS Config は、AWS リソースの設定を評価、監査、審査できるサービスです。
AWS Config では、AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。あるべき状態に準拠しているかどうかを継続的に評価します。
Config と CloudTrail の違い
CloudTrail は「誰が何をしたか」を記録しますが、Config は現在リソース構成がルールに準拠しているかどうかを見ています。状態をみているということですね。
Config と Inspector の違い
Config には Inspector のようなソフトウェア脆弱性の検出機能はありません。
AWS Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対する全体的なコンプライアンスを確認できます(ポリシーやガバナンスを強化できます)。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを実現できます。
例えば、コンプライアンスから外れた設定(インターネットからのアクセスを全部許可など)がされた場合に記録・通知(EventBridgeで)ができます。
■AWS Config の特徴
- リソース間の関連性を追跡し、変更する前にリソースの依存関係を確認できます。
- 変更が発生したら、リソース設定の履歴を確認できます。(履歴のヒストリ管理)
- 過去の任意の時点でリソースがどのように設定されていたかも確認できます。(構成要素のスナップショット)
Config はあるべき状態をルール化できる
Config はあるべき状態をルール化できます。Config の最大の使いどころです。
例えばアクセスキーを90日ごとにローテートしましょう、というルールを作成した場合、90日を超えたらルールに準拠していないということで EventBridge で通知をすることが可能です。
AWS Config アグリゲーター
AWS Config アグリゲーター は、複数アカウント・複数リージョン、または Organizations 全体からの AWS Config データを 1か所に集約して見る(一元管理する)ための仕組み(機能)です。アグリゲータは AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。
ちなみにアグリゲーター(Aggregator)とは、集める人・事業者、といった意味を持つ言葉です。複数(バラバラ)のものを集めて統合し、新たな価値や大きな力に変える「集める人・事業者」というニュアンスが強いです。
リソースタイプ(Resource Type)とは?
リソースタイプとサービスは異なります。サービスの中にある「リソースの種類」がリソースタイプと言えます。以下のイメージです。
- Amazon EC2 … サービス
- EC2 インスタンス … リソース
AWS:::EC2::Instance… リソースタイプ(AWS::サービス名::種類名の形式)
Cofig アグリゲーターが集約できるもの
リソース設定情報と、コンプライアンス情報を集約できます。
リソース設定情報は各リソースが今どう設定されているか。コンプライアンス情報は Config ルールに対して COMPLIANT / NON_COMPLIANT か、という評価結果です。そのため、Config アグリゲーターは「複数環境の Config をまとめて見るためのビュー」と考えると分かりやすいです。
AWS Config 運用
AWS Config マネージドルール(managed rule)
AWS Config マネージドルールは、定義済みのカスタマイズ可能なルールであり、AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config で使用します。たとえば「EBS が暗号化されているか」「必要なタグが付いているか」などを、自分で設計してルールを書く必要がなくすぐに評価できます。
Config Rules Compliance Change イベント
AWS Configの Config Rules Compliance Change イベントは、リソースの準拠状態が「準拠」から「非準拠」へ(またはその逆)変化した際に発生します。AWS Config は EventBridge に複数種類のイベントを送りますが、その1つが Config Rules Compliance Change です。
【Black Belt】AWS Config
コメント