AWS Config

AWS Config の特徴

AWS Config は、AWS リソースの設定を評価、監査、審査できるサービスです。AWS Config が非準拠を検知する仕組みは、「設定を記録する」→「ルールで評価する」→「結果を COMPLIANT / NON_COMPLIANT にする」 です。記録と評価の2段階で動いています。

AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。あるべき状態に準拠しているかどうかを継続的に評価します。

リソース設定を記録する

AWS Config は、対象にした AWS リソースの設定変更を追跡し、Configuration Item（設定項目） として記録します。たとえば EC2、IAM、S3 などで設定変更が起きると、その時点の設定内容が Config に記録されます。さらに、その履歴は指定した S3 バケットにも定期的に配信されます。

Config はまず最初に「今どういう設定か」を知る必要があります。設定を記録していないと、そもそも評価材料がないので、非準拠判定もできません。

Config ルールが記録された設定を評価する

記録された設定に対して Config ルールが評価を行います。ルールには AWS が用意した マネージドルール と、自分で作る カスタムルール があります。評価結果として、対象リソースごとに COMPLIANT、NON_COMPLIANT、場合によっては NOT_APPLICABLE などが付きます。

例えば、以下のような条件をルールで設定し、現在の設定がその条件に合うかを見ます。条件に合わなければ NON_COMPLIANT になります。

• S3 バケットは暗号化必須
• IAM ポリシーに Action: "*" と Resource: "*" を含めない
• 特定タグが必須

評価が実施されるタイミング

対象リソースの作成・変更・削除など、設定変更が起きたときに評価します。たとえば IAM ポリシーが更新された瞬間に、その変更をきっかけに再評価されます。

また、変更がなくても、24時間ごとなど指定の頻度で定期的に評価します。

非準拠になった場合

評価結果は Config 上でそのリソースに紐づいて保持され、非準拠の評価結果になった場合、NON_COMPLIANT と表示されます。さらに、この結果をもとに 修復アクション をつなげたり、Security Hub など他サービスに連携したりできます。Security Hub の一部コントロールも、裏では AWS Config のルール評価に依存しています。

例えば、SSM Automation で修復処理（例：CloudFormation の再適用など）を実行することができます。

Config と CloudTrail の違い

CloudTrail は「誰が何をしたか」を記録しますが、Config は現在リソース構成がルールに準拠しているかどうかを見ています。状態をみているということですね。

Config と Inspector の違い

Config には Inspector のようなソフトウェア脆弱性の検出機能はありません。

AWS Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対する全体的なコンプライアンスを確認できます（ポリシーやガバナンスを強化できます）。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを実現できます。

例えば、コンプライアンスから外れた設定（インターネットからのアクセスを全部許可など）がされた場合に記録・通知（EventBridgeで）ができます。

■AWS Config の特徴

• リソース間の関連性を追跡し、変更する前にリソースの依存関係を確認できます。
• 変更が発生したら、リソース設定の履歴を確認できます。（履歴のヒストリ管理）
• 過去の任意の時点でリソースがどのように設定されていたかも確認できます。（構成要素のスナップショット）

Config はあるべき状態をルール化できる

Config はあるべき状態をルール化できます。Config の最大の使いどころです。

例えばアクセスキーを90日ごとにローテートしましょう、というルールを作成した場合、90日を超えたらルールに準拠していないということで EventBridge で通知をすることが可能です。

AWS Config アグリゲーター

AWS Config アグリゲーター は、複数アカウント・複数リージョン、または Organizations 全体からの AWS Config データを 1か所に集約して見る（一元管理する）ための仕組み（機能）です。アグリゲータは AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。

ちなみにアグリゲーター（Aggregator）とは、集める人・事業者、といった意味を持つ言葉です。複数（バラバラ）のものを集めて統合し、新たな価値や大きな力に変える「集める人・事業者」というニュアンスが強いです。

リソースタイプ（Resource Type）とは？

リソースタイプとサービスは異なります。サービスの中にある「リソースの種類」がリソースタイプと言えます。以下のイメージです。

• Amazon EC2　…　サービス
• EC2 インスタンス　…　リソース
• AWS:::EC2::Instance　…　リソースタイプ（AWS::サービス名::種類名 の形式）

Cofig アグリゲーターが集約できるもの

リソース設定情報と、コンプライアンス情報を集約できます。

リソース設定情報は各リソースが今どう設定されているか。コンプライアンス情報は Config ルールに対して COMPLIANT / NON_COMPLIANT か、という評価結果です。そのため、Config アグリゲーターは「複数環境の Config をまとめて見るためのビュー」と考えると分かりやすいです。

AWS Config 運用

AWS Config マネージドルール（managed rule）

AWS Config マネージドルールは、定義済みのカスタマイズ可能なルールであり、AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config で使用します。たとえば「EBS が暗号化されているか」「必要なタグが付いているか」などを、自分で設計してルールを書く必要がなくすぐに評価できます。

Config Rules Compliance Change イベント

AWS Configの Config Rules Compliance Change イベントは、リソースの準拠状態が「準拠」から「非準拠」へ（またはその逆）変化した際に発生します。AWS Config は EventBridge に複数種類のイベントを送りますが、その1つが Config Rules Compliance Change です。

【Black Belt】AWS Config