AWS Config とは何ですか?

AWS Config とは、セキュリティとガバナンスを可能にする構成変更の通知、構成履歴、AWS リソースのインベントリーをお客様へ提供する完全マネージド型のサービスです。AWS Config から、既存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポートが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。

Config Rule とは何ですか?

Config Rule はリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更に照らして評価されます。ルールによるリソースの設定変更の評価結果はダッシュボードで確認できます。Config Rules を使用することで、設定の観点からの全体的なコンプライアンスおよびリスクステータスの評価、経時的なコンプライアンス傾向の確認、どの設定変更によってリソースがルールに違反したかの特定が可能です。

AWS Config のメリットは何ですか?

AWS Config では、初期費用なしでリソースの設定を簡単に追跡でき、データ収集のためのエージェントをインストールおよび更新したり、大規模なデータベースを管理したりといった複雑な作業を回避できます。AWS Config を有効にすると、AWS リソースに関連付けられたすべての設定属性の、継続的にアップデートされる詳細を確認できます。設定が更新されるたびに Amazon Simple Notification Service (SNS) が通知を送信します。

 

AWS Config は監査にどう役立ちますか?

AWS Config を使用して、リソースの設定履歴にアクセスできます。設定の変更を、変更の原因となった可能性のある AWS CloudTrail イベントと結び付けることができます。この情報により、「誰が変更したか」、「どの IP アドレスから変更されたか」などの詳細から、変更による AWS リソースおよび関連するリソースへの影響までを可視化できます。この情報を使用して、一定期間のコンプライアンスの監査および評価に役立つレポートを生成できます。

どのような人が AWS Config および Config Rules を使用しますか?

リソースの設定を継続的に評価することで AWS におけるセキュリティおよびガバナンス体制の向上を目指すすべての AWS のお客様が、この機能を有効に活用していただけます。リソース設定のベストプラクティスを推奨する大規模組織の管理者はこれらのルールを Config Rules として体系化し、ユーザーによるセルフガバナンスを可能にできます。使用状況および設定を監視して脆弱性を検出する情報セキュリティのエキスパートも Config Rules を活用できます。特定の規準 (PCI-DSS、HIPAA など) に準拠させる必要があるワークロードをお持ちのお客様は、Config Rules の機能を使用して AWS インフラストラクチャ設定のコンプライアンスを評価し、監査人に向けてレポートを生成できます。また、頻繁に変更される大規模な AWS インフラストラクチャまたはコンポーネントの運用者はトラブルシューティングの目的で Config Rules を使用できます。リソース設定の変更を追跡する、リソース設定に対する質問に回答する、コンプライアンスを実現する、トラブルシューティングまたはセキュリティ分析を実施する必要があるお客様に AWS Config のご利用をお勧めします。

このサービスは設定がコンプライアンスに違反しないことを保証するものですか?

Config Rules は、リソースが指定した設定ルールに従っているかどうかに関する情報を提供します。リソースに対して更新された設定項目 (CI) が AWS Config で記録されるとルールによる評価が実行されます。リソースのコンプライアンスを保証したり、ユーザーによるコンプライアンス違反のアクションの実行を防いだりするサービスではありません。さらに、Config Rules はコンプライアンスに違反しているリソースを自動的に修正するサービスでもありません。

このサービスを使用して、ユーザーによるコンプライアンス違反のアクション実行を防止できますか?

Config Rules はエンドユーザーによる AWS の消費方法に直接影響を与えません。設定変更が完了し、AWS Config によって記録された場合のみリソースの設定が評価されます。Config Rules によってユーザーによるコンプライアンス違反のアクションの実行を防ぐことはできません。ユーザーが AWS でプロビジョニングできるリソースおよびプロビジョニングの際に使用が許可される設定パラメータを管理するには、AWS Identity and Access Management (IAM) ポリシーと AWS Service Catalog をそれぞれ使用してください。

リソースをプロビジョニングする前にルールによる評価を実行できますか?

Config Rules では、リソースの設定項目 (CI) が AWS Config によって記録されるとルールによる評価が実行されます。リソースをプロビジョニングする前、またはリソースの設定を変更する前にルールによる評価を実行することはできません。

AWS Config は AWS CloudTrail とどのように連動しますか?

AWS CloudTrail はアカウント内のユーザー API の操作を記録し、お客様は操作に関する情報にアクセスできます。発信者の詳細、API の呼び出し時間、リクエストパラメータ、AWS サービスによるレスポンス要素などの API アクションの完全な詳細が取得できます。AWS Config は AWS リソースの特定の時点での設定詳細を記録し、これは設定項目 (CI) と呼ばれます。お客様は CI を使用して、ある特定の時点で「AWS リソースがどう設定されていたか」という質問に回答できます。AWS CloudTrail を使用すると、「誰がこのリソースを変更するために API の呼び出しを実行したか」という質問に回答できます。たとえば、 AWS Config に AWS マネジメントコンソールを使用して、「Production-DB」のセキュリティグループが過去に誤って設定されたことを検知できます。統合された AWS CloudTrail の情報を使用することで、「Production-DB」のセキュリティをどのユーザーが誤って設定したのかも特定できます。

 

AWS を無料でお試しください

まずは無料で始める

 

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS ベーシックサポート機能を利用できます。

AWS Config Rules のプレビューの詳細はこちらをご覧ください。

サービスの利用を開始するにはどうすればよいですか?

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

どうすればリソースの設定にアクセスできますか?

AWS マネジメントコンソール、AWS コマンドラインインターフェイス、SDK を使用して現在および過去のリソース設定を確認できます。

より詳しい情報は、「AWS Config ドキュメント」をご覧ください。

AWS Config はリージョンごとに有効になるのですか、それとも全体で有効になるのですか?

アカウント内のリージョンごとに、AWS Config を有効にできます。

AWS Config は異なる AWS アカウントからデータを収集できますか?

はい。適切な IAM ポリシーを S3 バケットに適用すれば、異なるアカウントから 1 つの S3 バケットに設定更新の情報を集めるように AWS Config を設定できます。また、適切な IAM ポリシーを 1 つの SNS トピックに適用すれば、その同じリージョンの SNS トピックに通知を公開できます。

AWS Config 自体での API アクティビティは AWS CloudTrail によって記録されますか?

はい。AWS Config API を使用した設定データの読み込みなど、AWS Config API のすべてのアクティビティは AWS CloudTrail によって記録されます。

リソースのタイムラインビューの時間とタイムゾーンは何を表していますか?また、サマータイムはどうなりますか?

AWS Config には、タイムラインのリソースに対して設定項目 (CI) が記録された時間が表示されます。すべての時間は協定世界時 (UTC) で記録されます。マネジメントコンソールでタイムラインを表示すると、現在のタイムゾーン (該当する場合、サマータイムに合わせて調整) が使用され、記録されているすべての時間がタイムラインビューで表示されます。

リソースの設定とは何ですか?

リソースの設定は、AWS Config の設定項目 (CI) に含まれるデータによって定義されます。Config Rules を最初にリリースするときに、関連するルールからリソースの CI が利用可能になります。Config Rules はこの情報と、アタッチされたその他のリソース、営業時間など、関連するすべての情報を使用してリソースの設定のコンプライアンスを評価します。

ルールとは何ですか?

ルールとはリソースの設定項目 (CI) の理想的な属性値であり、これらの属性値と AWS Config によって報告された CI を比較することによって評価されます。ルールには以下の 2 種類があります。

AWS のマネージドルール: AWS のマネージドルールは、AWS によって事前にビルドおよび管理されます。有効にするルールを選択し、いくつかの設定パラメータを入力すれば開始できます。詳細 »

お客様が管理するルール: お客様が管理するルールは、お客様自身で定義し、作成します。カスタムルールの一部として呼び出すことができる関数を AWS Lambda で作成し、これらの関数をアカウントで実行できます。詳細 »

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

どのようにしてルールを作成できますか?

ルールは基本的に AWS アカウント管理者が設定します。ルールは AWS のマネージドルール (AWS が提供する事前定義のルール) を活用して、またはお客様が管理するルールによって作成できます。AWS のマネージドルールの場合、そのルールを使用するアカウントに対して自動的にルールの更新が適用されます。お客様が管理するモデルの場合はお客様がルールの完全なコピーを所有し、自身のアカウントに対して実行します。ルールはお客様が保守します。

どれほどの数のルールを作成できますか?

デフォルトでは、AWS アカウントに最大 50 個のルールを作成できます。また、AWS サービス制限ページから、アカウントのルール数の制限の引き上げをリクエストできます。

ルールによる評価はどのように実行されますか?

すべてのルールが変更によってトリガーされるルールとして、または定期的に実行されるルールとして設定できます。変更によってトリガーされるルールは、AWS Config が指定されたいずれかのリソースの設定変更を記録すると実行されます。さらに、以下のうち 1 つを指定する必要があります。

タグキー (および任意の値): 指定したタグキーと値でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソースタイプ (複数可): 指定したリソースタイプでリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソース ID: 指定したリソースタイプおよびリソース ID でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

定期的に実行されるルールは特定の頻度でトリガーされます。選択可能な頻度は 1 時間、3 時間、6 時間、12 時間、24 時間です。定期的に実行されるルールの場合、ルールに公開されているすべてのリソースの現在の設定項目 (CI) に対する完全なスナップショットが使用されます。

評価とは何ですか?

ルールによる評価によって、特定時点でルールとリソースが一致しているかどうかが判断されます。これは、ルールをリソースの設定と比較して評価した結果です。Config Rules は各評価を取得し、保存します。結果にはリソース、ルール、評価が実行された時間、コンプライアンス違反の原因となった設定項目 (CI) へのリンクが含まれます。

コンプライアンスは何を意味しますか?

コンプライアンスを遵守しているとは、リソースが適用されるルールすべてに従っていることを指します。それ以外の場合はコンプライアンス違反となります。同様に、あるルールによって評価したすべてのリソースがルールに従っている場合、そのルールはコンプライアンスを遵守していることになります。それ以外の場合はコンプライアンス違反となります。ルールの権限が不足している場合などでは、リソースに対する評価が実行されず、データ不足のステータスとなる可能性があります。このステータスはリソースまたはルールのコンプライアンス状況の判断材料から除外されます。

Config Rules のダッシュボードにはどのような情報が表示されますか?

Config Rules のダッシュボードには AWS Config によって追跡されたリソースの概要と、リソースおよびルールごとの現在のコンプライアンス状況のサマリが表示されます。リソースごとにコンプライアンス状態を確認すると、そのリソースに適用されているルールの中に現在コンプライアンス違反があるかどうかが判断できます。ルールごとにコンプライアンス状態を確認すると、ルールが適用されているリソースの中に現在コンプライアンス違反があるかどうかが判断できます。このサマリビューを使用すると、リソース設定のタイムラインを詳細に確認してどの設定パラメータが変更されたかを判断できます。ダッシュボードを使用すれば概要から開始してより詳細なビューに移動し、コンプライアンス状況の変化について、またどの変更がコンプライアンス違反の原因となったかについて完全な情報を取得できます。

AWS Config では、どの AWS リソースタイプがサポートされていますか?

サポートされているリソースタイプの完全なリストは、こちらのドキュメントを参照してください。

AWS Config はどのリージョンで利用可能ですか?

AWS Config が利用可能なリージョンの詳細については、このページをご覧ください。

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

設定項目とは何ですか?

設定項目(CI)とは、特定時点でのリソースの設定です。CI は 5 つのセクションで構成されています。

  1. 異なるリソースタイプでも共通な基本情報(Amazon リソース名、タグなど)。
  2. リソースに特有な設定データ(EC2 インスタンスタイプなど)。
  3. 他のリソースとの相関関係(例: EC2::Volume vol-3434df43 は EC2 instance i-3432ee3a に「アタッチされています」)
  4. このステータスに関連する AWS CloudTrail イベント ID。
  5. CI のバージョン、CI がキャプチャされた時間など、その CI についての情報が特定できるメタデータ。

設定項目の詳細

AWS Config の関連性とは何ですか、またどのように使用するのですか?

AWS Config は変更を記録する際にリソース同士の関連性を考慮します。例えば、新しい Amazon EC2 セキュリティグループが Amazon EC2 インスタンスと関連付けられている場合、AWS Config ではプライマリリソースと Amazon EC2 セキュリティグループの両方、および Amazon EC2 インスタンスといった関連リソースの構成の更新を記録します(これらのリソースが実際に変更された場合)。

AWS Config では、リソースのこれまでの状態がすべて記録されますか?

AWS Config では、リソースの設定の変更を検出し、その変更によってもたらされた設定状態を記録します。リソースに対していくつかの設定変更が立て続けに(数分間隔など)行われた場合、Config では、そのリソースへの変更全体の累積的影響を表す最新の設定のみが記録されます。このような場合、Config では、設定項目の [relatedEvents] フィールドに最新の変更のみを示します。これにより、Config が途中の一時的な状態を記録するまで待機しなくても、ユーザーとプログラムはインフラストラクチャの設定を続けて変更することができます。

リソースへの API アクティビティによる設定変更は AWS Config によって記録されますか?

はい。AWS Config では、まだ記録されていない変更がないかリソースの設定を定期的にスキャンし、そのような変更を記録します。このようなスキャンによって記録された CI のペイロードには、[relatedEvent] フィールドがありません。記録済みの状態とは異なる最新の状態のみが選択されています。

AWS Config では EC2 インスタンス内のソフトウェアに対する設定変更は記録されますか?
はい。AWS Config では、AWS アカウント内の EC2 インスタンス内に加え、オンプレミス環境の仮想マシン (VM) やサーバー内のソフトウェアに対する設定変更を記録できます。AWS Config で記録される設定情報には、オペレーティングシステム更新、ネットワーク設定、インストール済みのアプリケーションなどがあります。AWS Config Rules を使用して、インスタンス、VM、およびサーバーがガイドラインに従っているかどうかを評価できます。AWS Config が提供する詳細までの可視性と連続的モニタリング機能によって、コンプライアンスを評価し、運用上の問題をトラブルシューティングできます。

定期的なルール評価の結果、以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は通知を送信し続けますか?AWS Config は、コンプライアンス状況に変化があったときにのみ通知を送信します。以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、Config は新しい通知を送信しません。 コンプライアンス状況が「コンプライアンス遵守」に変化した場合、状況変化の通知がお客様に届きます。

Config ルールによって評価されるようリソースにフラグを付ける、またはリソースを評価から除外することはできますか?Config ルールを構成するとき、指定されたリソースタイプ、または特定のタグが付いたリソースに対してルールが評価を実行するかどうかを指定できます。

このサービスではどのように料金が発生しますか?

AWS Config では、アカウントでサポートされているリソースに対して記録された設定項目(CI)の数で料金が決定します。CI の記録で料金が発生するのは 1 回のみです。その CI を保持するための追加料金や以降の使用義務は発生しません。CI の記録はいつでも停止でき、その場合でも既に記録された CI へのアクセスは継続できます。CI ごとの料金が毎月のご請求額に加算されます。料金の詳細をご覧ください。

AWS Config Rules を使用している場合、その月にアクティブだった Config Rules の数に基づいて料金が発生します。あるルールが AWS リソースと比較されると、その結果が評価として記録されます。1 か月に 1 度以上評価が実行された場合、そのルールはアクティブとみなされます。

設定のスナップショットおよび設定履歴ファイルは指定した S3 バケットに送信され、Amazon Simple Notification Service (SNS) によって設定変更通知が送信されます。標準の Amazon S3 および Amazon SNS の料金が適用されます。お客様が管理するルールは AWS Lambda を使用して作成します。標準の AWS Lambda の料金が適用されます。

Config Rules の料金に AWS Lambda 関数の利用料は含まれますか?

お客様は AWS が提供する一連のマネージドルールから選択するか、AWS Lambda 関数で独自のルールを作成できます。マネージドルールは AWS によって完全に管理および保守され、ルールを実行するために追加の AWS Lambda 利用料は発生しません。マネージドルールを有効にし、必要なパラメータを入力し、各 AWS Config ルールの単体料金を支払うだけです。一方お客様が管理するルールは、アカウントで AWS Lambda 関数として実行することでお客様が完全に制御できます。お客様が管理するルールにはアクティブなルールに対する月額料金に加えて、通常の AWS Lambda 無料利用枠および関数実行料金が適用されます。

Config Rules の共有クォータとは何ですか?

お客様はアクティブな各ルールにつき 20,000 評価/月のクォータを利用できます。例えば、Config Rules のルールを 3 つ利用している場合、アカウントに対するクォータは 60,000 評価となります。お客様はこのクォータを任意の方法ですべてのルールに割り当てることができます。

未使用の評価は次の月に繰り越されますか?

未使用の評価は期限切れとなり、請求サイクルごとにリセットされます。

料金について例を出して説明してもらえますか?

料金の例 1
AWS Config は各 AWS リソースおよび設定の変更を設定項目 (CI) として記録します。お客様が 7,000 CI/月を記録し、5 つのアクティブなルール (2 つは定期的、3 つは変更によってトリガー) を作成しており、1 日に合計 150 回の評価をレポートすると仮定した場合は以下のようになります。

AWS Config の料金: 7,000 * 0.003 USD = 21.00 USD
5 つのアクティブルールの料金: 5 * 2.00 USD = 10.00 USD

評価結果のクォータ = 5 * 20,000 = 100,000
実行される評価の数 = 150 評価 * 30 日 = 4,500 評価/月
評価結果に対する追加料金 = 0.0 USD

AWS Config の合計月額料金 = 31.00 USD

発生するサービス料金はリソースによって記録された CI の数で決まります。つまり、アカウント内のリソースの数、リソースに対して実行した設定変更の数に応じて料金は異なります。数百のリソースがあるアカウントで標準的な設定変更操作を実行した場合、AWS Config がキャプチャする CI は、月に 3,000 未満となり、料金は月に 9 USD 未満です。


料金の例 2
お客様が 50,000 CI/月を記録し、2 つのアクティブなルールを作成しており、いずれのルールもすべての CI に対して評価され毎回結果をレポートすると仮定した場合の料金は以下のようになります。

AWS Config の料金: 50,000 * 0.003 USD = 150.00 USD
2 つのアクティブルールの料金 = 2 * 2.00 USD = 4.00 USD

評価結果のクォータ = 2 * 20,000 = 40,000
実行される評価の数 = 2 * 50,000 = 100,000
評価結果に対する追加料金 = (100,000 – 40,000) = 60,000 * 0.0001 = 6.00 USD

AWS Config の合計月額料金 = 150.00 USD + 4.00 USD + 6.00 USD = 160.00 USD

AWS Config にはどんな AWS パートナーソリューションが利用できますか?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks、RedHat CloudForms などのエコシステムパートナーは、AWS Config のデータと完全に統合されたサービスを提供しています。2nd Watch や CloudNexa といったマネージドサービスプロバイダーも AWS Config との統合を発表しました。さらに、Config Rules を使用して、CloudHealth Technologies、AlertLogic、および TrendMicro といったパートナーが顧客の利用可能な統合サービスを提供しています。これらのソリューションでは変更管理、セキュリティ分析などが利用でき、AWS リソースの設定を視覚化、モニタリング、管理するのに役立ちます。

より詳しくは、「AWS Config パートナーソリューション」をご覧ください。