とは AWS Config

AWS Config は、アカウント内の AWS リソースの設定の詳細ビューを提供します AWS 。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS リソースは、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store () ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (EBS) など、で操作できるエンティティですVPC。でサポートされている AWS リソースの完全なリストについては AWS Config、「」を参照してくださいサポートされているリソースタイプ。

考慮事項

AWS アカウント: アクティブなが必要です AWS アカウント。詳細については、「へのサインアップ AWS」を参照してください。
Amazon S3 バケット : 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、Amazon S3 バケットのアクセス許可を参照してください。
Amazon SNSトピック : 設定スナップショットと履歴に変更があった場合に通知を受け取るSNSには、Amazon が必要です。詳細については、「Amazon SNSトピックのアクセス許可」を参照してください。
IAM ロール : にアクセスするために必要なアクセス許可を持つIAMロールが必要です AWS Config。詳細については、IAM「ロールのアクセス許可」を参照してください。
リソースタイプ : 記録 AWS Config するリソースタイプを指定できます。詳細については、AWS 「リソースの記録」を参照してください。

使用方法 AWS Config

でアプリケーションを実行する場合 AWS、通常は AWS リソースを使用します。リソースは、まとめて作成および管理する必要があります。アプリケーションの需要が高まるにつれて、 AWS リソースを追跡する必要も高まります。 AWS Config は、次のシナリオでアプリケーションリソースを監督するのに役立つように設計されています。

リソースの管理

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。 AWS Config を使用して、各リソースに対して行われた呼び出しをポーリングすることで、これらの変更をモニタリングすることなく、リソースが作成、変更、または削除されるたびに通知できます。

AWS Config ルールを使用して、リソースの設定を AWS 評価できます。がリソースがいずれかのルールの条件に違反していること AWS Config を検出すると、はリソースを非準拠として AWS Config フラグ付けし、通知を送信します。 AWS Config は、リソースの作成、変更、または削除時にリソースを継続的に評価します。

監査とコンプライアンス

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報はによって提供されます AWS Config。

設定変更の管理とトラブルシューティング

相互に依存する複数の AWS リソースを使用すると、1 つのリソースの設定が変更されると、関連するリソースに意図しない結果が生じる可能性があります。を使用すると AWS Config、変更するリソースが他のリソースにどのように関連しているかを表示し、変更の影響を評価できます。

また、 AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

セキュリティ分析

潜在的なセキュリティ上の弱点を分析するには、ユーザーに付与される AWS Identity and Access Management （IAM) アクセス許可や、 AWS リソースへのアクセスを制御する Amazon EC2 セキュリティグループルールなど、リソース設定に関する詳細な履歴情報が必要です。

AWS Config を使用して、が AWS Config 記録していたときに、ユーザー、グループ、またはロールに割り当てられたIAMポリシーを表示できます。この情報は、特定の時間にユーザーに属するアクセス許可を決定するのに役立ちます。例えば、2015 年 1 月 1 日にユーザーが Amazon VPC設定を変更するアクセス許可John Doeを持っているかどうかを確認できます。

AWS Config を使用して、特定の時間に開かれたポートルールなど、EC2セキュリティグループの設定を表示することもできます。この情報は、セキュリティグループが特定のポートへの受信TCPトラフィックをブロックしたかどうかを判断するのに役立ちます。

パートナーソリューション

AWS は、ログ記録と分析においてサードパーティーの専門家と提携し、 AWS Config 出力を使用するソリューションを提供します。詳細については、 AWS Config の詳細ページを参照してくださいAWS Config。

機能

をセットアップすると AWS Config、以下を実行できます。

リソース管理

記録 AWS Config するリソースタイプを指定します。

設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。
設定ストリーム通知を送信するSNSように Amazon を設定します。
Amazon S3 バケットと Amazon SNSトピックへのアクセスに必要な AWS Config アクセス許可を付与します。

詳細については、AWS 「リソース設定と履歴の表示」およびAWS 「リソース設定と履歴の管理」を参照してください。

ルールおよびコンフォーマンスパック

記録されたリソースタイプのコンプライアンス情報を評価 AWS Config するために使用するルールを指定します。
コンフォーマンスパック、または内の単一のエンティティとしてデプロイおよびモニタリングできるルールのコレクションを使用します AWS アカウント。

詳細については、「 AWS Config ルールとコンフォーマンスパックを使用したリソースの評価 https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html」を参照してください。

修正

によって評価される非準拠のリソースを修正します AWS Config ルール。

詳細については、「修復」を参照してください。

アグリゲーター

アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の AWS アカウントリージョンと AWS リージョンから AWS Config 1 つのアカウントとリージョンに設定データとコンプライアンスデータを収集します。

詳細については、[マルチアカウントマルチリージョンのデータ集約] を参照してください。

高度なクエリ

サンプルクエリのいずれかを使用するか、 AWS リソースの設定スキーマを参照して独自のクエリを作成します。

詳細については、AWS 「リソースの現在の設定状態のクエリ」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Config の仕組み