全般

Q:  AWS Config とは何ですか?

AWS Config は、セキュリティとガバナンスのためのフルマネージド型のサービスであり、ご利用の AWS リソースのインベントリ、構成履歴、構成変更通知の機能を備えています。AWS Config では、既存の AWS リソースの特定や、構成の詳細すべてを含めたお客様の AWS リソースインベントリのエクスポートが可能になり、特定の時点でどのようにリソースが構成されたかを判断できます。これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。

Q:  Config Rule とは何ですか?

Config Rule はリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更に照らして評価されます。ルールによるリソースの設定変更の評価結果はダッシュボードで確認できます。Config Rules を使用することで、設定の観点からの全体的なコンプライアンスおよびリスクステータスの評価、経時的なコンプライアンス傾向の確認、どの設定変更によってリソースがルールに違反したかの特定が可能です。

Q:  AWS Config のメリットは何ですか?

AWS Config では、初期費用なしでリソースの設定を簡単に追跡でき、データ収集のためのエージェントをインストールおよび更新したり、大規模なデータベースを管理したりといった複雑な作業を回避できます。AWS Config を有効にすると、AWS リソースに関連付けられたすべての設定属性の、継続的にアップデートされる詳細を確認できます。設定が更新されるたびに Amazon Simple Notification Service (SNS) が通知を送信します。

Q:  AWS Config は監査にどう役立ちますか?

AWS Config を使用して、リソースの設定履歴にアクセスできます。設定の変更を、変更の原因となった可能性のある AWS CloudTrail イベントと結び付けることができます。この情報は、「誰が変更したか」、「どの IP アドレスから変更されたか」などの詳細から、AWS リソースと関連リソースにもたらされた変更の影響までを完全に可視化します。この情報を使用して、一定期間のコンプライアンスの監査および評価に役立つレポートを生成できます。

Q:  どのような人が AWS Config および Config Rules を使用しますか?

リソースの設定を継続的に評価することで AWS におけるセキュリティおよびガバナンス体制の向上を目指すすべての AWS のお客様が、この機能を有効に活用していただけます。リソース設定のベストプラクティスを推奨する大規模組織の管理者はこれらのルールを Config Rules として体系化し、ユーザーによるセルフガバナンスを可能にできます。使用状況および設定を監視して脆弱性を検出する情報セキュリティのエキスパートも Config Rules を活用できます。特定の規準 (PCI-DSS、HIPAA など) に準拠させる必要があるワークロードをお持ちのお客様は、Config Rules の機能を使用して AWS インフラストラクチャ設定のコンプライアンスを評価し、監査人に向けてレポートを生成できます。また、頻繁に変更される大規模な AWS インフラストラクチャまたはコンポーネントの運用者はトラブルシューティングの目的で Config Rules を使用できます。リソース設定の変更を追跡する、リソース設定に対する質問に回答する、コンプライアンスを実現する、トラブルシューティングまたはセキュリティ分析を実施する必要があるお客様に AWS Config のご利用をお勧めします。

Q:  このサービスは設定がコンプライアンスに違反しないことを保証するものですか?

Config Rules は、リソースが指定した設定ルールに従っているかどうかに関する情報を提供します。リソースに対して更新された設定項目 (CI) が AWS Config で記録されるとルールによる評価が実行されます。リソースのコンプライアンスを保証したり、ユーザーによるコンプライアンス違反のアクションの実行を防いだりするサービスではありません。さらに、Config Rules はコンプライアンスに違反しているリソースを自動的に修正するサービスでもありません。

Q:  このサービスを使用して、ユーザーによるコンプライアンス違反のアクション実行を防止できますか?

Config Rules はエンドユーザーによる AWS の消費方法に直接影響を与えません。設定変更が完了し、AWS Config によって記録された場合のみリソースの設定が評価されます。Config Rules によってユーザーによるコンプライアンス違反のアクションの実行を防ぐことはできません。ユーザーが AWS でプロビジョニングできるリソースおよびプロビジョニングの際に使用が許可される設定パラメータを管理するには、AWS Identity and Access Management (IAM) ポリシーと AWS Service Catalog をそれぞれ使用してください。

Q:  リソースをプロビジョニングする前にルールによる評価を実行できますか?

Config Rules では、リソースの設定項目 (CI) が AWS Config によって記録されるとルールによる評価が実行されます。リソースをプロビジョニングする前、またはリソースの設定を変更する前にルールによる評価を実行することはできません。

Q:  AWS Config は AWS CloudTrail とどのように連携しますか?

AWS CloudTrail は、ユーザー API アクティビティをアカウントに記録し、お客様がそのアクティビティに関する情報にアクセスできるようにします。発信者の詳細、API の呼び出し時間、リクエストパラメータ、AWS のサービスによるレスポンス要素などの API アクションの完全な詳細を取得できます。AWS Config は AWS リソースの特定の時点での設定詳細を記録し、これは設定項目 (CI) と呼ばれます。お客様は CI を使用して、ある特定の時点で「AWS リソースがどう設定されていたか」という質問に回答できます。AWS CloudTrail を使用すると、「誰がこのリソースを変更するために API の呼び出しを実行したか」という質問に回答できます。 たとえば、 AWS Config に AWS マネジメントコンソールを使用して、「Production-DB」のセキュリティグループが過去に誤って設定されたことを検知できます。統合された AWS CloudTrail の情報を使用することで、「Production-DB」のセキュリティをどのユーザーが誤って設定したのかも特定できます。

Q:  中央アカウントから複数のアカウントやリージョンのコンプライアンス情報をモニタリングできますか?

AWS Config では、マルチアカウント、マルチリージョンのデータ集約機能を使用して、複数のアカウントやリージョンのコンプライアンス状況を簡単にモニタリングできます。設定アグリゲータを任意のアカウントに作成して、他のアカウントからコンプライアンスの詳細情報を集約できます。この機能は AWS Organizations とも統合されているため、組織内のすべてのアカウントからデータを集めることもできます。

開始方法

Q:  サービスの利用を開始するにはどうすればよいですか?

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q:  どうすればリソースの設定にアクセスできますか?

AWS マネジメントコンソール、AWS コマンドラインインターフェイス、SDK を使用して現在および過去のリソース設定を確認できます。

より詳しい情報は、「AWS Config ドキュメント」をご覧ください。

Q:  AWS Config はリージョンごとに有効になるのですか、それとも全体で有効になるのですか?

アカウント内のリージョンごとに、AWS Config を有効にできます。

Q:  AWS Config は異なる AWS アカウントからデータを収集できますか?

はい。適切な IAM ポリシーを S3 バケットに適用すれば、異なるアカウントから 1 つの S3 バケットに設定更新の情報を集めるように AWS Config を設定できます。また、適切な IAM ポリシーを 1 つの SNS トピックに適用すれば、その同じリージョンの SNS トピックに通知を公開できます。

Q:  AWS Config 自体での API アクティビティは AWS CloudTrail によって記録されますか?

はい。AWS Config API を使用した設定データの読み込みなど、AWS Config API のすべてのアクティビティは AWS CloudTrail によって記録されます。

Q:  リソースのタイムラインビューにある時間とタイムゾーンは何を表していますか? また、サマータイムはどうなりますか?

AWS Config には、タイムラインのリソースに対して設定項目 (CI) が記録された時間が表示されます。すべての時間は協定世界時 (UTC) で記録されます。マネジメントコンソールでタイムラインを表示すると、現在のタイムゾーン (該当する場合、サマータイムに合わせて調整) が使用され、記録されているすべての時間がタイムラインビューで表示されます。

Config Rules

Q:  リソースの設定とは何ですか?

リソースの設定は、AWS Config の設定項目 (CI) に含まれるデータによって定義されるものです。Config Rules を最初にリリースするときに、リソースの CI に関連するルールが利用可能になります。Config Rules はこの情報と、アタッチされたその他のリソース、営業時間など、関連するすべての情報を使用し、リソース設定のコンプライアンスを評価します。

Q:  ルールとは何ですか?

ルールとはリソースの設定項目 (CI) の理想的な属性値であり、これらの属性値と AWS Config によって報告された CI を比較することによって評価されます。ルールには以下の 2 種類があります。

AWS のマネージドルール: AWS のマネージドルールは、AWS によって事前にビルドおよび管理されます。有効にするルールを選択し、いくつかの設定パラメータを入力すれば開始できます。 詳細 »

お客様が管理するルール: お客様が管理するルールは、お客様自身で定義し、作成します。カスタムルールの一部として呼び出すことができる関数を AWS Lambda で作成し、これらの関数をアカウントで実行できます。 詳細 »

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q:  どのようにしてルールを作成できますか?

ルールは基本的に AWS アカウント管理者が設定します。ルールは AWS のマネージドルール (AWS が提供する事前定義のルール) を活用して、またはお客様が管理するルールによって作成できます。AWS のマネージドルールの場合、そのルールを使用するアカウントに対して自動的にルールの更新が適用されます。お客様が管理するモデルの場合はお客様がルールの完全なコピーを所有し、自身のアカウントに対して実行します。ルールはお客様が保守します。

Q:  どれほどの数のルールを作成できますか?

デフォルトでは、AWS アカウントに最大 50 個のルールを作成できます。また、AWS サービス制限ページから、アカウントのルール数の制限の引き上げをリクエストできます。

Q:  ルールによる評価はどのように実行されますか?

すべてのルールが変更によってトリガーされるルールとして、または定期的に実行されるルールとして設定できます。変更によってトリガーされるルールは、AWS Config が指定されたいずれかのリソースの設定変更を記録すると実行されます。さらに、以下のうち 1 つを指定する必要があります。

タグキー (および任意の値): 指定したタグキーと値でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソースタイプ (複数可): 指定したリソースタイプでリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソース ID: 指定したリソースタイプおよびリソース ID でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

定期的に実行されるルールは特定の頻度でトリガーされます。選択可能な頻度は 1 時間、3 時間、6 時間、12 時間、24 時間です。定期的に実行されるルールの場合、ルールに公開されているすべてのリソースの現在の設定項目 (CI) に対する完全なスナップショットが使用されます。

Q:  評価とは何ですか?

ルールによる評価によって、特定時点でルールとリソースが一致しているかどうかが判断されます。これは、ルールをリソースの設定と比較して評価した結果です。Config Rules は各評価を取得し、保存します。結果にはリソース、ルール、評価が実行された時間、コンプライアンス違反の原因となった設定項目 (CI) へのリンクが含まれます。

Q:  コンプライアンスは何を意味しますか?

コンプライアンスを遵守しているとは、リソースが適用されるルールすべてに従っていることを指します。それ以外の場合はコンプライアンス違反となります。同様に、あるルールによって評価したすべてのリソースがルールに従っている場合、そのルールはコンプライアンスを遵守していることになります。それ以外の場合はコンプライアンス違反となります。ルールの権限が不足している場合などでは、リソースに対する評価が実行されず、データ不足のステータスとなる可能性があります。このステータスはリソースまたはルールのコンプライアンス状況の判断材料から除外されます。

Q:  Config Rules のダッシュボードにはどのような情報が表示されますか?

Config Rules のダッシュボードには AWS Config によって追跡されたリソースの概要と、リソースおよびルールごとの現在のコンプライアンス状況のサマリが表示されます。リソースごとにコンプライアンス状態を確認すると、そのリソースに適用されているルールの中に現在コンプライアンス違反があるかどうかが判断できます。ルールごとにコンプライアンス状態を確認すると、ルールが適用されているリソースの中に現在コンプライアンス違反があるかどうかが判断できます。このサマリビューを使用すると、リソース設定のタイムラインを詳細に確認してどの設定パラメータが変更されたかを判断できます。ダッシュボードを使用すれば概要から開始してより詳細なビューに移動し、コンプライアンス状況の変化について、またどの変更がコンプライアンス違反の原因となったかについて完全な情報を取得できます。

マルチアカウント、マルチリージョンでのデータ集約

Q:  マルチアカウント、マルチリージョンのデータ集約はどのような機能ですか?

AWS Config のデータ集約機能では、複数のアカウントやリージョンの AWS Config データを単一のアカウントに集約できます。マルチアカウントのデータ集約は、中央の IT 管理者がエンタープライズ内にある複数の AWS アカウントのコンプライアンスをモニタリングするのに便利です。

Q:  データ集約機能を使って複数アカウントの Config Rules を集中的にプロビジョニングできますか?

データ集約機能を使って複数アカウントにルールをプロビジョニングすることはできません。これは純粋に、コンプライアンスの可視性を実現するレポート機能です。複数のアカウントやリージョンにルールをプロビジョニングする場合は、CloudFormation StackSet を使用できます。こちらのブログに有用な情報が載せられています。

Q:  自分のアカウントでデータ集約を有効にするにはどうすればよいですか?

Config および Config Rules が自分のアカウントと集約対照のアカウントで有効化されると、アカウントにアグリゲータを作成してデータ集約を有効化できます。詳細はこちらをご覧ください。

Q:  アグリゲータとは何ですか?

アグリゲータは AWS Config のリソースタイプで、複数のアカウントやリージョンから AWS Config データを収集します。アグリゲータを使用して、複数のアカウントやリージョンについて AWS Config に記録されたリソース設定とコンプライアンスデータを表示できます。

Q:  [Aggregated] ビューにはどのような情報が表示されますか?

[Aggregated] ビューには、組織全体でのルール違反合計数、違反リソース数の多いルールのトップ 5、ルール違反の多い AWS アカウントのトップ 5 が表示されます。これによりルールに違反しているリソースについての詳細を見、あるアカウントが違反しているルールのリストを見ることができます。

Q:  AWS Organizations は利用していませんが、データ集約機能を使用できますか?

ファイルのアップロードまたは各アカウントの個別入力によって、Config データの集約対象アカウントを指定できます。AWS Organization に属していないアカウントでは、アカウントそれぞれに対してアグリゲータアカウントを明示的に承認する必要があることに注意してください。詳細はこちらをご覧ください。

Q:  アカウントは 1 つしか使用していないのですが、データ集約機能を使用する利点はありますか?

データ集約機能はマルチリージョンの集約にも役立ちます。この機能を使えば、複数リージョンにまたがるアカウントの Config データを集約できます。

Q:  マルチアカウント、マルチリージョンのデータ集約機能はどのリージョンで使用できますか?

データ集約機能は以下の 9 つのリージョンでご利用いただけます。 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (サンフランシスコ)、欧州 (アイルランド)、欧州 (フランクフルト)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、アジアパシフィック (シンガポール)。

Q:  この機能がサポートされていないリージョンを含むアカウントがある場合、どうなりますか?

アグリゲータを作成するときには、データの集約対象となるリージョンを指定します。リストには、この機能が利用できるリージョンのみ表示されます。[all regions] を選択することもできます。この場合、その他のリージョンがデータの集約に対応すると、自動的にデータが集計されます。

サービスとリージョンのサポート

Q: AWS Config では、どの AWS リソースタイプがサポートされていますか?

サポートされているリソースタイプの完全なリストは、こちらのドキュメントを参照してください。

Q: AWS Config はどのリージョンで利用可能ですか?

AWS Config が利用可能なリージョンの詳細については、このページをご覧ください。

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

リソース設定

Q: 設定項目とは何ですか?

設定項目(CI)とは、特定時点でのリソースの設定です。CI は 5 つのセクションで構成されています。

  1. 異なるリソースタイプでも共通な基本情報(Amazon リソース名、タグなど)。
  2. リソースに特有な設定データ(EC2 インスタンスタイプなど)。
  3. 他のリソースとの相関関係(例: EC2::Volume vol-3434df43 は EC2 instance i-3432ee3a に「アタッチされています」)
  4. このステータスに関連する AWS CloudTrail イベント ID。
  5. CI のバージョン、CI がキャプチャされた時間など、その CI についての情報が特定できるメタデータ。

設定項目の詳細

Q: AWS Config の関連性とは何ですか、またどのように使用するのですか?

AWS Config は変更を記録する際にリソース同士の関連性を考慮します。例えば、新しい Amazon EC2 セキュリティグループが Amazon EC2 インスタンスと関連付けられている場合、AWS Config ではプライマリリソースと Amazon EC2 セキュリティグループの両方、および Amazon EC2 インスタンスといった関連リソースの構成の更新を記録します(これらのリソースが実際に変更された場合)。

Q: AWS Config では、リソースのこれまでの状態がすべて記録されますか?

AWS Config では、リソースの設定の変更を検出し、その変更によってもたらされた設定状態を記録します。リソースに対していくつかの設定変更が立て続けに(数分間隔など)行われた場合、Config では、そのリソースへの変更全体の累積的影響を表す最新の設定のみが記録されます。このような場合、Config では、設定項目の [relatedEvents] フィールドに最新の変更のみを示します。これにより、Config が途中の一時的な状態を記録するまで待機しなくても、ユーザーとプログラムはインフラストラクチャの設定を続けて変更することができます。

Q: リソースへの API アクティビティによらない設定変更は AWS Config によって記録されますか?

はい。AWS Config では、まだ記録されていない変更がないかリソースの設定を定期的にスキャンし、そのような変更を記録します。このようなスキャンによって記録された CI のペイロードには、[relatedEvent] フィールドがありません。記録済みの状態とは異なる最新の状態のみが選択されています。

Q: AWS Config では EC2 インスタンス内のソフトウェアに対する設定変更は記録されますか?

はい。AWS Config では、AWS アカウント内の EC2 インスタンス内に加え、オンプレミス環境の仮想マシン (VM) やサーバー内のソフトウェアに対する設定変更を記録できます。AWS Config で記録される設定情報には、オペレーティングシステム更新、ネットワーク設定、インストール済みのアプリケーションなどがあります。AWS Config Rules を使用して、インスタンス、VM、およびサーバーがガイドラインに従っているかどうかを評価できます。AWS Config が提供する詳細までの可視性と連続的モニタリング機能によって、コンプライアンスを評価し、運用上の問題をトラブルシューティングできます。

Q: 定期的なルール評価の結果、以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は通知を送信し続けますか?

AWS Config は、コンプライアンス状況に変化があったときにのみ通知を送信します。以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、Config は新しい通知を送信しません。コンプライアンス状況が「コンプライアンス遵守」に変化した場合、状況変化の通知がお客様に届きます。

Q: Config ルールによって評価されるようリソースにフラグを付ける、またはリソースを評価から除外することはできますか?

Config ルールを構成するとき、指定されたリソースタイプ、または特定のタグが付いたリソースに対してルールが評価を実行するかどうかを指定できます。

料金表

Q: このサービスではどのように料金が発生しますか?

AWS Config では、アカウントでサポートされているリソースに対して記録された設定項目(CI)の数で料金が決定します。CI の記録で料金が発生するのは 1 回のみです。その CI を保持するための追加料金や以降の使用義務は発生しません。CI の記録はいつでも停止でき、その場合でも既に記録された CI へのアクセスは継続できます。CI ごとの料金が毎月のご請求額に加算されます。料金詳細を見る

AWS Config Rules を使用している場合、その月にアクティブだった Config Rules の数に基づいて料金が発生します。あるルールが AWS リソースと比較されると、その結果が評価として記録されます。1 か月に 1 度以上評価が実行された場合、そのルールはアクティブとみなされます。

設定のスナップショットおよび設定履歴ファイルは指定した S3 バケットに送信され、Amazon Simple Notification Service (SNS) によって設定変更通知が送信されます。標準の Amazon S3 および Amazon SNS の料金が適用されます。お客様が管理するルールは AWS Lambda を使用して作成します。標準の AWS Lambda の料金が適用されます。

Q: Config Rules の料金に AWS Lambda 関数の利用料は含まれますか?

お客様は AWS が提供する一連のマネージドルールから選択するか、AWS Lambda 関数で独自のルールを作成できます。マネージドルールは AWS によって完全に管理および保守され、ルールを実行するために追加の AWS Lambda 利用料は発生しません。マネージドルールを有効にし、必要なパラメータを入力し、各 AWS Config ルールの単体料金を支払うだけです。一方お客様が管理するルールは、アカウントで AWS Lambda 関数として実行することでお客様が完全に制御できます。お客様が管理するルールにはアクティブなルールに対する月額料金に加えて、通常の AWS Lambda 無料利用枠*および関数実行料金が適用されます。

*AWS 無料利用枠は、AWS 中国 (北京) リージョンまたは AWS 中国 (寧夏) リージョンではご利用いただけません

Q: 料金について例を出して説明してもらえますか?

料金の例 1

1 か月当たり 1000 の Configuration アイテムを記録され、バージニア北部リージョンでアクティブなルールが 15 個あると仮定します。月別の料金は次のようになります

AWS Config の料金: 1,000 * 0.003 USD = 3.00 USD

AWS Config Rules:

米国東部 (バージニア北部) リージョンでの最初の 10 ルールに対するアクティブな Config Rule 1 つあたり 2.00 USD: 10 * 2.00 USD = 20.00 USD

米国東部 (バージニア北部) リージョンでの次の 40 ルールに対するアクティブな Config Rule 1 つあたり 1.50 USD: 5 * 1.50 USD = 7.50 USD

AWS Config の合計月額料金 = 30.50 USD

料金の例 2

1 か月当たり 1000 の Configuration アイテムを記録され、バージニア北部リージョンでアクティブなルールが 100 個あり、欧州 (アイルランド) リージョンでアクティブなルールが 5 つで Configuration アイテムが 400 あると仮定します。月別の料金は次のようになります

AWS Config の料金 (バージニア北部): 1,000 * 0.003 USD = 3.00 USD

AWS Config Rules (バージニア北部):

米国東部 (バージニア北部) リージョンでの最初の 10 ルールに対するアクティブな Config Rule 1 つあたり 2.00 USD: 10 * 2.00 USD = 20.00 USD

米国東部 (バージニア北部) リージョンでの次の 40 ルールに対するアクティブな Config Rule 1 つあたり 1.50 USD: 40 * 1.50 USD = 60.00 USD

米国東部 (バージニア北部) リージョンでの 50 以上のルールに対するアクティブな Config Rule 1 つあたり 1.00 USD: 50 * 1.00 USD = 50.00 USD

AWS Config の料金 (欧州アイルランド): 400 * 0.003 USD = 1.20 USD

欧州 (アイルランド) リージョンでの最初の 10 ルールに対するアクティブな Config Rule 1 つあたり 2.00 USD: 5 * 2.00 USD = 10.00 USD

AWS Config の合計月額料金 = 144.20 USD

パートナーソリューション

Q: AWS Config にはどんな AWS パートナーソリューションが利用できますか?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks、RedHat CloudForms などのエコシステムパートナーは、AWS Config のデータと完全に統合されたサービスを提供しています。2nd Watch や CloudNexa といったマネージドサービスプロバイダーも AWS Config との統合を発表しました。さらに、Config Rules を使用して、CloudHealth Technologies、AlertLogic、および TrendMicro といったパートナーが顧客の利用可能な統合サービスを提供しています。これらのソリューションでは変更管理、セキュリティ分析などが利用でき、AWS リソースの設定を視覚化、モニタリング、管理するのに役立ちます。

詳細については、こちらをクリックしてください。

構築を始めましょう。
AWS Config の使用を開始する
ご不明な点がおありですか?
お問い合わせ