AWS Configサービスを解説｜サービスを利用するメリットとは？

AWS Configについて

AWS Configは、AWS リソースの設定を取得する機能があり、監査や構成の審査に役立つサービスです。 設定変更のイベントを検知・通知できるため、セキュリティの検証に役立ちます。また、設定の履歴が取得されるので、構成管理にも利用できます。 このように、AWS Configを使うことでAWSのリソース設定の管理を簡素化できます。

AWS Configにできること6つ

AWS ConfigはAWS リソースの設定を取得、記録することができ、さらにその内容を評価することができるサービスです。 この記事では、「使ってみたいけど、具体的にどのような機能があるのか分からない」、「AWS Configのユースケースが想像できない」といった人に向けて、AWS Configでできることや利用するメリットなどを紹介しています。 AWS Configの入門編として、ぜひチェックしてください。

AWS Configにできること1：1つ以上のリソース設定を取得する

AWS Configはアカウント内にある複数のリソース設定を取得することができます。 リソースとは、AWS で使用できるエンティティであり、EC2インスタンスやEBSボリューム、VPCなどを指します。Route53やAmazon ECSのように、対応していないリソースもあるので注意してください。 なお、リソース設定を取得するには、設定レコーダーの作成が必要です。AWSマネジメントコンソールやAWS CLI（Command Line Interface）を使って作成できます。

AWS Configにできること2：リソース設定の評価

AWS Config は、あらかじめ決められたルールと比較して、AWS リソースの設定が望ましい状態かどうかを評価できます。 たとえば、EBSボリュームが暗号化されているか、特定のタグがリソースにタグ付けされているかを評価します。あるルールに違反しているリソースには非準拠のフラグが表示されます。 利用できるルールは2種類ありますが、「マネージドルール」はAWSによって定義済みのルールで、「カスタムルール」は利用者がLambda functionを作成して独自に定義するという違いがあります。

AWS Configにできること3：リソース設定の履歴を取得する

AWS Configはリソースの設定を取得するだけでなく、設定履歴も取得できます。 設定履歴とは、ある範囲の期間の特定リソースについて、AWS Configが記録した設定項目の一覧です。リソース識別子としてリソースタイプおよびリソース idを指定することで、設定履歴を表示することができます。 AWS Configのデータは、既存の設定では約7年保持されますが、任意の保持期間を設定することも可能です。設定履歴は、S3バケットへエクスポートして保管することもできます。

AWS Configにできること4：リソースの変更管理

AWS Config を利用すると、リソースの設定が変更されるたびに通知が送信されます。AWS利用者は、各リソースの作成、変更、削除について監視し、変更検知を行う仕組みをつくる必要はありません。 AWS リソースの設定の変更通知は、配信チャネルから送信されます。配信チャネルを管理することで、通知先を制御することができます。Amazon SNS を利用すると、メール通知を設定することも可能です。

AWS Configにできること5：設定のスナップショットを取得する

AWS Configを利用すると、AWS Configの記録対象となっているリソースの設定スナップショットを取得することもできます。この設定スナップショットは、保存先として任意の Amazon S3バケットを指定できます。 設定スナップショットとは、アカウント内のリソースに関する設定項目の一覧です。ただし、AWS Configがサポートしているリソースしか取得されません。

AWS Configにできること6：リソース間での関係を表示する

AWS Configはアカウント内の AWS リソースを自動で検出し、リソース同士の関係を構成図上に可視化できます。たとえば、EC2インスタンス i-ec21c2d3 にセキュリティグループ sg-sg1a8hk が関連付けられているといった、リソース間の関係がマップとして出力されます。 また、AWS Configの関係クエリを利用することで、EC2 インスタンス i-ec21c2d3 に関連する EIP を検索する、といった操作を実現できます。

AWS Configを利用するメリット6つ

続いては、AWS Configを使うことで得られるメリットを6つ紹介します。 AWS Configを使うことで、システムを運用するうえで得られるメリットが多くあります。「環境変更の際に影響調査をする」といったような、一定の頻度で行う必要がある作業を自動化できる、などのメリットを紹介します。

AWS Configを利用するメリット1：継続的な評価が可能

AWS Configを使うことで、簡単に、AWSリソースが最適な状態かどうかの評価を継続的に行えます。AWS Configは、一度ルール違反になった設定を再設定した後でも、設定変更のたびに再評価して、ルール違反を検知できます。 また、「コンフォーマンスパック（適合パック）」と呼ばれるルールと修復アクションの集まりを利用すると、各アカウントやリージョン、AWS Organizationsの組織全体に対して、1回のデプロイでそれらを適用できます。

AWS Configを利用するメリット2：トラブルシューティングが容易

AWS Configは、CloudTrailと統合すると、AWS Configの設定変更履歴に対して、設定変更を行ったAPIコールの詳細（どのユーザーが、どの IP アドレスからいつリクエストしたかなど）を追跡することもできます。 APIコールの詳細の情報は、CloudTrailの「Event history （イベント履歴）」から確認できます。 AWS ConfigとCloudTrailを使って、設定変更の詳細を調査することは、AWS上の問題を特定する助けになります。

AWS Configを利用するメリット3：企業全体でコンプライアンスの表示

AWS Configは複数アカウント、複数リージョンのデータを集約することができます。企業がマルチアカウントを利用していても、企業全体でのコンプライアンスの状況を把握し、コンプライアンスが保たれていないアカウントをすぐに特定できます。 アグリゲータというAWS Configの新しいリソースが、複数のソースアカウントやリージョンからAWS Configのデータを集めることで、この機能が実現されています。

AWS Configを利用するメリット4：継続的にモニタリングして記録する

AWS Configは、AWS リソースの設定変更を継続的にモニタリングして記録します。 設定が変更される度、AWS Configは「設定ストリーム」と呼ばれるリストに設定項目を追加していきます。「設定ストリーム」はAWS Configが記録している全リソースの設定項目の自動更新リストです。 一連の記録を使うことで、AWS リソースの設定や、EC2 インスタンス内のソフトウェア設定のインベントリを任意の時点で実行することもできます。

AWS Configを利用するメリット5：サードパーティーのリソース管理

AWS Configでは、サードパーティーリソースの設定の監査や、コンプライアンス検証も実施できます。 GitHubなどのサードパーティーリソースの設定をAWSに連携することで、AWSリソースと同様に、AWS Configコンソールから設定履歴を確認したり、AWS Configルールを使ったサードパーティーリソースの設定の評価が実現できます。

AWS Configを利用するメリット6：変更管理が可能

AWS Config はリソース間の関連性を参照できるので、変更する前にリソース変更による影響が調査できます。また、リソースの設定履歴を確認できるため、リソース設定の修復も容易に行えます。 AWS Configによって変更管理を行うことで、リソース変更に起因する問題の発生を抑えることができます。

AWS Configを監視する方法5つ

ここまでで、AWS Configでできることやメリットを紹介しました。続いてはAWS Configの機能を使ってコンプライアンスを確認する方法や、より詳細な設定方法などを紹介します。 AWS Configを設定する際に登場する用語についても紹介するので、実際に設定してみたいという人はぜひ読んでみてください。

AWS Configを監視する方法1：セキュリティ分析

セキュリティの脆弱性を分析するには、IAMやセキュリティグループルールのような、AWSリソースへのアクセス制御に関係するAWSリソースの設定を確認する必要があります。 たとえば、AWS Configの記録によって、IAM のuser、group、roleに割り当てられた IAM policyを確認できます。この情報を使って、特定の期間にユーザーが所有していたアクセス権限の調査が可能です。

AWS Configを監視する方法2：リソース設定の評価

リソース設定を評価する際には、カスタムルールを利用することで、任意のタイミングで評価が実施できます。 カスタムルールでは、評価を行うトリガーを2種類から選択できます。1つは「定期的」なトリガーで、指定した任意の間隔でルールが評価されます。 もう1つは「設定変更」のトリガーです。特定のタイプのリソースが作成、変更、削除されたときにルールが評価されます。トリガーとなるリソースは、ルールのスコープで指定できます。

AWS Configを監視する方法3：コンプライアンス監査

組織のコンプライアンス監査には、AWS Config 適合パックが役立ちます。YAMLで記述されたサンプルテンプレートを使うと、デプロイを簡素化できます。 適合パックを使用するには、AWS Configの記録をオンにしてください。また、適合パックのサービスリンクロールが作成されており、Amazon S3がコンプライアンス結果を保存・配信できるように設定されている必要があります。 修復アクションも行う場合は、remediationの権限を持つサービスリンクロールの作成も必要です。

AWS Configを監視する方法4：変更管理

複数の相互に依存するAWSリソースを使っている場合は、あるリソースの設定変更にとって他の関連リソースに影響を与えてしまうことがあります。 AWS Configでは、他のリソースとの関連性を確認することで、リソースを変更する前に、変更における影響をジャッジすることができます。

AWS Configを監視する方法5：トラブルシューティング

AWS ConfigはCloudTrailと統合することで、より詳細な設定変更の追跡が可能になり、運用上の問題の根本原因の特定が容易になります。 AWS Configコンソールでは、設定を記録した日付と時刻が、設定タイムラインとして整理して表示されます。また、「CloudTrail events」画面では、CloudTrailの取得データを確認できます。 「CloudTrail events」が読み取れない場合、CloudTrailのログ記録が有効か確認してください。無効の場合、有効化する必要があります。

AWS Configのサービスを活用しよう

AWS Configを活用したい方は、AWSが提供する情報も利用して、実際に使い始めてみてください。 費用の見積もりが必要な場合は、サービスの価格や料金体系をまとめたページがあるので、活用してください。 始め方が分からない場合は、AWSが公開している「開発者ガイド」のチュートリアルからセットアップ手順が確認できます。 困ったときや使い方が分からないときは、AWSサービスのマニュアルとして公開されている「API リファレンス」やFAQをまとめた「よくある質問」に目を通してみてください。]]>