AWS Config の特徴

AWS Config は AWS リソースの変更の詳細を記録し、設定履歴を確認できるようにします。AWS マネジメントコンソール、API、CLI を使用して、過去の任意の時点でリソースがどのように設定されていたかの詳細を取得できます。また、AWS Config により、指定した Amazon S3 バケットに設定履歴ファイルが自動配信されます。

AWS Config を使用すると、Amazon EC2 インスタンスやオンプレミスで稼働しているサーバーで実行されるソフトウェアの設定変更を記録できます。また、他のクラウドプロバイダーによって提供される環境におけるサーバーや仮想マシンで実行されるソフトウェアの設定変更も記録できます。AWS Config によって、オペレーティングシステム (OS) の設定、システムレベルの更新、インストールされているアプリケーション、ネットワーク設定などに対する可視性が高まります。AWS Config では、EC2 インスタンス用に記録されたインフラストラクチャ設定変更と共に、OS およびシステムレベルの設定変更の履歴を提供します。

AWS Config は、アカウント内の AWS リソース関係を検出、マッピング、追跡します。例えば、新しい Amazon EC2 セキュリティグループが Amazon EC2 インスタンスと関連付けられた場合、AWS Config は Amazon EC2 セキュリティグループと Amazon EC2 インスタンスの両方の設定の更新を記録します。

AWS Config では、AWS のリソースや、管理されたインスタンス (Amazon EC2 インスタンスなど) で実行されるソフトウェア、オンプレミスで稼働しているサーバーで実行されるソフトウェアのプロビジョニングや設定を評価するためのルールがあらかじめ用意されています。ユーザーは、あらかじめ用意されたルールをカスタマイズして、AWS リソースの設定や設定変更を評価できます。または、リソース設定に関する内部のベストプラクティスやガイドラインを定義するためのカスタムルールを AWS Lambda で独自に作成することもできます。AWS Config を使用すると、リソースの設定や変更を評価して、あらかじめ用意されたルールまたはカスタムルールにリソースが従っているかどうかを確認できます。

コンフォーマンスパックは、共通のフレームワークとパッケージモデルを使用して、ポリシー定義から監査および集計レポートに至るまで、AWS リソースの構成コンプライアンスを大規模に管理するのに役立ちます。コンフォーマンスパックは AWS Organizations と統合されています。コンフォーマンスパックをコンプライアンスフレームワークとして使用すれば、AWS Config ルールと修復アクションのコレクションをパッケージ化し、組織全体で単一のエンティティ (コンフォーマンスパック) としてデプロイできます。これは、リソース設定ポリシーとベストプラクティスの共通基準を、組織内の複数のアカウントにわたってスケーラブルかつ効率的な方法ですばやく確立する必要がある場合に特に役立ちます。

コンフォーマンスパックは、コンプライアンススコアも提供します。コンプライアンススコアはパーセンテージベースのスコアで、コンフォーマンスパックの範囲でキャプチャされる一連の要件に対してリソースがどの程度準拠しているかをすばやく確認するのに役立ちます。コンプライアンススコアはコンフォーマンスパックの範囲で準拠しているルールとリソースの組み合わせの数に基づいて計算されます。例えば、5 つのリソースに適用される 5 つのルールを持つコンフォーマンスパックには、25 (5x5) のルールとリソースの組み合わせが可能です。2 つのリソースが 2 つのルールに準拠していない場合、コンプライアンススコアは 84% になり、現在 25 のルールとリソースの組み合わせのうち 21 が準拠していることを示します。さらに、コンプライアンススコアは Amazon CloudWatch のメトリクスに出力されるため、時間を追って追跡できます。コンプライアンススコアは修復の進捗状況の追跡、異なる要件セット間の比較、特定の変更や展開がコンプライアンスの状況に与える影響の確認など、一貫した測定方法を提供します。

マルチアカウント、マルチリージョンでのデータ集約は、中央での監査とガバナンスを可能にする AWS Config の機能です。この機能ではエンタープライズ全体にわたるお客様の AWS Config ルールコンプライアンス状況を見ることができ、お客様の AWS Organization をすばやくアカウントに追加します。AWS Config の集約的なダッシュボードには組織全体での非コンプライアントルールの総数、リソース数での非コンプライアントルール上位 5 個、それに非コンプライアントルールの最も多い AWS アカウントの上位 5 個が表示されます。次に、ドリルダウンして、ルールに違反しているリソースの詳細と、アカウントごとに違反しているルールのリストを表示できます。

AWS Config は、パブリック API を使用してサードパーティーリソースの構成を拡張し、AWS Config に公開できます。例えば、GitHub などのバージョン管理システム、Microsoft アクティブディレクトリリソース、オンプレミスサーバーなどのサードパーティーリソースを利用できます。AWS Config では、AWS Config コンソールと API を使用して、サードパーティーリソースのリソースインベントリや設定履歴を AWS リソースの場合と同様に表示したりモニタリングしたりできます。また、AWS Config ルールまたはコンフォーマンスパックを作成し、ベストプラクティス、内部ポリシー、規制ポリシーに照らしてサードパーティーリソースを評価することもできます。

AWS Config では、設定のスナップショット (その時点におけるすべてのリソースおよびリソースの設定) を取得できます。設定のスナップショットは AWS CLI または API によってオンデマンドで生成され、指定した Amazon S3 バケットに送信されます。

AWS Config では視覚的ダッシュボードを利用できるため、コンプライアンスに違反しているリソースをすばやく特定し、適切なアクションを実行できます。IT 管理者、セキュリティ専門家、コンプライアンス担当者は、この共有ビューを使用して AWS リソースのコンプライアンス状況を確認できます。

AWS Config を統合してリソースの検出、変更の管理、コンプライアンス、セキュリティに使用できるソリューションを提供する数多くの Amazon パートナーネットワーク (APN) のパートナーから選択できます。AWS Config APN パートナーの詳細については、こちらをご覧ください。

AWS Organizations を使って、AWS Config のマルチアカウント、マルチリージョンデータ集約機能に用いるアカウントを定義できます。AWS Organizations は、複数の AWS アカウントを、お客様が作成して集中管理する組織に統合できるようにする、アカウント管理サービスです。AWS Organizations の詳細を与えることで、お客様の組織にわたるコンプライアンス状況を監視できます。

AWS Config は、AWS CloudTrail との統合により、設定変更をアカウントの特定のイベントに関連付けます。CloudTrail ログを使用すると、変更を呼び出したイベントの詳細 (誰が、いつ、どの IP アドレスから要求を行ったかなど) を取得することができます。AWS CloudTrail コンソールから Config タイムラインに移動すると、AWS API アクティビティに関連する設定変更を表示できます。この機能の詳細については、こちらのドキュメントをご覧ください。

Jira Service Desk などの IT サービスマネジメント (ITSM) ツールと AWS Config を接続すると、ITSM プラットフォームのユーザーは AWS のサービスとリソースをリクエストおよび管理が簡単になります。AWS Service Management Connector for Jira Service Desk により、Jira Service Desk の管理者は AWS 製品のガバナンスと監視ができるようになります。

AWS Security Hub は、AWS Config ルールを含む、他の AWS のサービスからのセキュリティチェックを一元化します。Security Hub は Config ルールを有効にして制御し、リソースの構成がベストプラクティスに沿ったものになるようにします。お客様の環境のリソースでセキュリティチェックを実行するために、Security Hub があるすべてのリージョンのすべてのアカウントで Config を有効にします。

AWS Audit Manager は、AWS の使用状況を継続的に監査して、リスクおよび規制や業界標準へのコンプライアンスを評価する方法を簡素化するのに役立ちます。Audit Manager は証拠収集を自動化するので、AWS Config などの制御データソースを設定して、自動化された証拠を収集することができます。

AWS Config は、AWS Systems Managerとの統合により、オンプレミス環境の Amazon EC2 インスタンスおよびサーバー上のソフトウェアへの設定変更を記録します。この統合によって、オペレーティングシステム (OS) の設定、システムレベルの更新、インストールされているアプリケーション、ネットワーク設定などに対する可視性を高めることができます。Config では、EC2 インスタンス用に記録されたインフラストラクチャ設定変更と共に、OS およびシステムレベルの設定変更の履歴を提供します。 Systems Manager コンソールから Config タイムラインに移動すると、管理対象の EC2 インスタンスの設定変更を表示できます。Config を使用して、AWS Systems Manager インベントリの履歴を表示し、管理対象のすべてのインスタンスの変更を追跡することができます。

AWS Firewall Manager を使用するには、AWS Organizations のメンバーアカウントごとに AWS Config を有効にする必要があります。新しいアプリケーションが作成されると、Firewall Manager はファイアウォールルールを構築し、セキュリティポリシーを作成し、それらを一貫して実施するための単一のサービスとなります。

AWS Config は Amazon EC2 専有ホスト との統合により、ライセンスコンプライアンスを評価します。Config は、インスタンスが専有ホストで起動、停止、または終了したときを記録し、この情報を、ソフトウェアライセンスに関連するホストおよびインスタンスレベルの情報 (ホスト ID、Amazon マシンイメージ (AMI) ID、ソケットと物理コアの数など) と組み合わせます。これにより、Config をライセンスレポートのデータソースとして使用することができます。Amazon EC2 専有ホストコンソールから Config タイムラインに移動すると、Amazon EC2 専有ホストの設定変更を表示できます。

AWS Config は、Elastic Load Balancing (ELB) サービスとの統合により、Application Load Balancer への設定変更を記録します。Config は、関連付けられている EC2 セキュリティグループ、VPC、サブネットとの関係も記録します。この情報は、セキュリティ分析とトラブルシューティングに使用できます。例えば、Application Load Balancer に関連付けられているセキュリティグループをいつでも確認できます。 ELB コンソールから Config タイムラインに移動すると、Application Load Balancer の設定変更を表示できます。