コンテンツにスキップ

AWS Config

1. サービス概要

AWS Config は、AWS リソースの設定変更を追跡し、監査するためのサービスである。
ユーザーは、AWS リソースの構成を記録し、過去の構成状態を把握し、設定変更を監視できる。
AWS Config は、セキュリティとコンプライアンスの要件を満たすために、AWS リソースの構成管理を自動化し、監査レポートの生成を容易にする。

主なユースケースとして、

  • セキュリティコンプライアンスの維持
  • 設定変更の追跡
  • リソースの設定評価
  • ガバナンスと監査
  • セキュリティインシデントの調査

などが挙げられる。
AWS Config は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 リソース構成の記録

AWS Config は、AWS リソースの構成を継続的に記録する。
ユーザーは、リソースの作成、変更、削除などのイベントを追跡し、特定時点におけるリソース構成を確認できる。

2.2 設定変更の追跡

リソースの設定変更を詳細に記録する。
変更前の状態、変更後の状態、変更を行ったユーザー、変更日時などの情報が記録される。

2.3 コンプライアンスチェック

ルールを使用して、AWS リソースがセキュリティのベストプラクティスやコンプライアンス要件に準拠しているかどうかを評価する。
準拠していないリソースが見つかった場合には、アラートを通知する。

2.4 カスタムルール

独自のカスタムルールを作成できる。
これにより、特定のコンプライアンス要件や組織のポリシーに合わせたルールを作成し、リソース設定を評価できる。

2.5 設定履歴

リソースの過去の構成状態を履歴として保存する。
ユーザーは、過去の特定の時点におけるリソース構成を復元したり、変更履歴を追跡したりできる。

2.6 マルチアカウント/マルチリージョン対応

AWS Organizations と連携することで、組織全体のアカウントとリージョンのリソース構成をまとめて管理できる。
これにより、組織全体で一貫したセキュリティポリシーを適用できる。

2.7 統合性と拡張性

AWS Config は、AWS CloudTrail, AWS Security Hub, Amazon SNS などの AWS の他のサービスと密接に統合されている。
また、API を利用して、構成情報の取得や評価を自動化することもできる。

3. アーキテクチャおよび技術要素

  1. AWS リソースの構成変更イベントが発生。
  2. AWS Config は、リソースの構成を検出し、設定情報を記録。
  3. 設定情報は、設定履歴として S3 バケットに保存。
  4. AWS Config ルールに基づいて、リソース設定を評価。
  5. ルール違反を検出した場合、CloudWatch Events でアラートを生成。

AWS Config は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
リソースの構成記録、ルール評価は AWS が行うため、ユーザーはインフラの管理を行う必要はない。

4. セキュリティと認証・認可

AWS Config は、設定データのセキュリティを確保するために、以下の機能を提供します:

  • IAM 統合: AWS Identity and Access Management (IAM) を利用して、AWS Config へのアクセスを制御する。
  • データ暗号化: 構成データは転送中および保存時に暗号化される。
  • VPC エンドポイント: VPC 内から AWS Config にアクセスする際に、インターネットを経由せずにアクセスできる。
  • アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、AWS Config の操作権限を詳細に制御できる。
  • 監査ログ: CloudTrail を通じて、AWS Config の利用状況を監査できる。

これらのセキュリティ対策により、設定データへの不正アクセスを防止し、機密情報を保護できる。

5. 料金形態

AWS Config の料金は主に以下に基づきます:

  • 設定項目の記録: 記録された設定項目の数に応じて課金。
  • ルール評価: Config ルールによる設定評価の回数に応じて課金。
  • コンフォーマンスパック: コンフォーマンスパックの利用料金が発生。

6. よくあるアーキテクチャ・設計パターン

AWS Config は、様々なセキュリティとコンプライアンスの要件に対応するために利用できる。
一般的なパターンは以下の通りです:

  • セキュリティコンプライアンスの維持: 組織のセキュリティポリシーに準拠したリソース設定を維持。
  • 設定変更の追跡: AWS リソースの設定変更を追跡し、異常な変更や設定ミスを特定。
  • リソースの設定評価: リソース設定を定義し、セキュリティのベストプラクティスやコンプライアンス要件に準拠しているかどうかを評価。
  • ガバナンスと監査: 組織全体のリソース構成を管理し、監査レポートを生成。
  • セキュリティインシデントの調査: セキュリティインシデント発生時に、リソースの構成変更履歴を調査。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS マネジメントコンソールから AWS Config を開き、記録を有効化。
  2. Config ルールを設定し、リソース設定を評価するルールを定義。
  3. カスタムルールを作成し、組織独自のポリシーに合わせたルールを定義。
  4. リソースの設定変更を行い、Config の追跡結果を確認。
  5. コンプライアンス状況を監視し、ルール違反を特定。

8. 試験で問われやすいポイント

8.1 リソース構成の記録

  • 機能: AWS リソースの構成を継続的に記録。
  • 対象: リソースの作成、変更、削除などのイベント。
  • 試験対策: 記録対象のリソース、構成情報の収集方法が問われる。

8.2 設定変更の追跡

  • 機能: リソースの設定変更を詳細に記録。
  • 対象: 変更前後の状態、変更者、変更日時など。
  • 試験対策: 追跡対象の変更情報、利用シーンが問われる。

8.3 コンプライアンスチェック

  • 機能: ルールを使用して、リソースがセキュリティ基準やコンプライアンス要件に準拠しているか評価。
  • 目的: 準拠していないリソースを特定し、アラート通知。
  • 試験対策: コンプライアンスチェックの仕組み、利用方法が問われる。

8.4 カスタムルール

  • 機能: 独自のルールを定義し、リソース設定を評価。
  • 利用: 特定のコンプライアンス要件や組織ポリシーに対応。
  • 試験対策: カスタムルールの定義方法、利用シーンが問われる。

8.5 料金体系

  • 課金対象: 記録された設定項目の数、ルール評価の回数、コンフォーマンスパックの利用料。
  • 最適化: 不要なルールの削除、記録対象リソースの絞り込みがコスト削減に有効。
  • 試験対策: 料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較

  • AWS CloudTrail: AWS API の呼び出しを記録するサービス。Config はリソースの設定を記録。
  • AWS Security Hub: セキュリティアラートを集約するサービス。Config はリソースのコンプライアンス評価に特化。

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Config は何を提供するサービスですか?
  • A: AWS リソースの設定変更を追跡し、監査するためのサービスである。
  • Q: AWS Config は、どのようなリソースの構成を記録しますか?
  • A: EC2 インスタンス、S3 バケット、VPC、IAM などの様々な AWS リソースの構成を記録する。
  • Q: AWS Config は、どのような変更を追跡できるか?
  • A: リソースの作成、変更、削除などのイベントを追跡し、変更前後の状態、変更者、変更日時などを記録する。
  • Q: AWS Config ルールとは何ですか?
  • A: AWS リソースがセキュリティのベストプラクティスやコンプライアンス要件に準拠しているかどうかを評価するためのものである。
  • Q: AWS Config の料金はどのように計算されますか?
  • A: 記録された設定項目の数、ルール評価の回数、コンフォーマンスパックの利用料などに基づいて計算される。