AWS Configで設定変更を閲覧する方法とは？使用例や料金も紹介

AWS Configとは？

AWS Configは、Amazon EC2やAmazon RDSなどのリソースの設定を評価・監査・審査できるサービスです。AWS Configでサポートするリソースは自動で継続的にモニタリングし、設定変更を記録・評価できます。 変更内容に問題がある場合は、AWS Configのダッシュボードなどから確認できます。また、メールなどに通知することも可能です。なお、AWS Configでは、AWSのリソース一部のみをサポートしています。サポートするリソースはAWSの公式サイトをご確認ください。

AWS Configでどんなことができるの？

AWS Configでは、リソースの設定を評価・監査・審査できるといっても、実際どのようなことができるか、ピンと来ない方もいるでしょう。ここでは、実際にAWS Configでどんなことができるのか、紹介します。

AWSリソースの設定変更履歴を閲覧できる

AWSリソースで変更した設定を履歴で管理し、変更内容をAWSマネジメントコンソールやAPI、CLIから閲覧できます。確認したい時に確認したい時点の設定内容を閲覧できるため、トラブルが発生した際に設定値に間違いがないか、簡単に確認することが可能です。

AWSリソースにインストールされたソフトウェアの設定変更履歴を閲覧できる

AWS Configは、AWS ConfigコンソールとAPIを駆使することで、Amazon EC2インスタンスで実行するソフトウェアの設定変更をAWS リソースと同様に閲覧・モニタリングできます。 また、オンプレミスやクラウドプロバイダーのサーバ・仮想マシンのソフトウェアに対しても利用可能です。

AWSリソース間の依存関係を確認できる

AWS Configは、AWSのアカウントが利用するAWSリソース同士の関係性を検出し、変更前にリソース同士の依存関係を確認することが可能です。この機能は、設定変更がAWSリソース間に与える影響を調査する際に便利な機能です。

設定変更があった際にメールなどに通知できる

AWS Configは記録対象のリソースで設定変更があった際に、メールなどに通知できます。AWS Configでは、メッセージ送信サービス「Amazon Simple Notification Service（SNS）」と連携可能です。 Amazon SNSにメールやモバイルプッシュなどで通知方法を設定しておくと、設定した通知方法で設定変更時にAmazon SNSから変更通知を送信されます。

AWSリソースの設定情報のスナップショットを取得できる

AWS Configは、AWSリソースに対して設定変更のスナップショットを自動で取得します。また、AWS CLIやAPIを利用して、スナップショットを取得することも可能です。

AWS Configの使用例

AWS Configでできることを紹介してきました。次は、AWS Configがどのように使用されるのか、主な使用例を紹介します。

リソースの構成変更や設定管理

AWS Configは、AWSアカウント内のリソースや設定を管理するツールとして利用できます。無駄なリソースの棚卸しや設定値のチェックする際にとても便利でおすすめです。

問題発生時のトラブルシューティング

システムの動作不良など問題が発生した際に、AWS Configコンソールなどから最近の構成や設定変更を特定できます。トラブルシューティングに役立ちます。

監査対応

AWS Configは、システムの構成や設定変更を継続的に記録・閲覧できます。これにより、継続的な監査やコンプライアンスに対応可能です。

不正操作の検知

AWS Configでは、設定変更時にメールなどに通知することが可能です。通知されることで、不正な設定変更などが発生した場合、すぐに変更内容を確認し、対処できます。

AWS Configの料金

AWS Configを利用した場合の料金は、AWS Configの使用料とAWS Configが連携するサービスの使用料を合計した料金です。 AWS Configの使用料は、①アクティブなルール数、②記録されたAWS Config ルールの評価数、③コンフォーマンスパック評価数の３つの数を基に請求額が決まります。 また、AWS Configが連携するサービスの使用料は、連携先のサービスの利用状況に応じて請求額が決まります。以下よりAWS Configが連携するサービスの使用料について紹介します。

Amazon S3

Amazon S3は、AWS Configの設定変更履歴ファイルやスナップショットをS3バケットで保管します。Amazon S3の使用料は、S3バケットの利用状況に応じて標準料金が請求されます。

Amazon SNS

Amazon SNSは、設定変更通知があった際に利用されます。Amazon SNSの使用料は、設定変更通知によるAmazon SNSの利用状況に応じてAmazon SNSの標準料金が請求されます。

AWS Lambda

AWS Configでは、設定変更を検知するルールをカスタマイズでき、ルールをAWS Lambdaを使用して作成することも可能です。AWS Lambdaの使用料はルール作成でAWS Lambdaを利用した場合に、AWS Lambdaの標準料金が請求されます。

AWS Configの操作手順

AWS Configの開始手順やダッシュボードの表示手順を簡単に紹介します。

AWS Configの開始手順

AWS ConfigコンソールからAWS Configの利用を開始する手順を簡単に紹介します。初めてAWS Configを利用するときに実施する手順となりますので、既にAWS Configを利用されている方は実施不要です。

• AWS Configコンソールを表示します。
• 右の「今すぐ始める」ボタンをクリックします。
• 記録するリソースタイプ欄を選択します。AWS Configがサポートするリソースをすべて記録する場合は「このリージョンでサポート…」を選択します。特定のリソースのみを記録する場合は「特定のリソースタイプを記録する」を選択します。
• 記録するリソースタイプ欄で「このリージョンでサポート…」を選択した場合は、必要に応じて「グローバルリソース (AWS IAM リソースなど) を含める」を選択します。
• 記録するリソースタイプ欄で「特定のリソースタイプを記録する」を選択した場合は、リソースカテゴリ欄で記録するリソースカテゴリを、リソースタイプ欄で記録するリソースタイプを選択します。
• AWS Config ロール欄でAWS Configが他のサービスへのアクセスを許可するIAMルールを選択します。AWS Configサービス用にロールを作成する場合は「AWS Configサービスにリンクされたロールの作成」を、既にあるロールから選択する場合は「アカウントからロールを選択」を選択します。
• AWS Config ロール欄で「アカウントからロールを選択」を選択した場合は、既存のロール欄でAWS Configに付与するロールを選択します。
• Amazon S3 バケット欄で設定履歴などが保存されるAmazon S3バケットを選択します。
• 設定変更をAmazon SNSのトピックに通知する場合は、Amazon SNS トピック欄のチェックボックスをチェックします。そして、通知先のトピックを選択します。
• 「次へ」ボタンをクリックします。
• AWS Configで変更を記録するルールを適宜選択し、「次へ」ボタンをクリックします。
• 設定内容を確認し、「確認」ボタンをクリックします。

AWS Configダッシュボードの表示手順

AWS ConfigコンソールからAWS Configのダッシュボードを表示する手順を簡単に紹介します。ダッシュボードを表示するには、あらかじめAWS Configを開始する必要があります。

• AWS Config コンソールを表示します。
• 左の白いバーをクリックし、メニューを表示します。
• メニューから「ダッシュボード」をクリックします。
• AWS Configのダッシュボードが表示され、リソースのインベントリやコンプライアンス状況、非準拠ルールを確認できます。

まとめ

今回はAWS Configでできることや使用例、料金などについて紹介しました。AWS Configは、AWSリソース間の関係性が確認できたり、設定変更がメールなどで通知できたりと、システムを運用する上で有用な機能を提供しています。 AWSでシステムを運用する際は、是非利用してみましょう。]]>