全般

Q: AWS Config とは何ですか?

AWS Config は、セキュリティとガバナンスのためのフルマネージド型のサービスであり、ご利用の AWS リソースのインベントリ、構成履歴、構成変更通知の機能を備えています。AWS Config では、既存の AWS リソースの特定や、構成の詳細すべてを含めたお客様の AWS リソースインベントリのエクスポートが可能になり、特定の時点でどのようにリソースが構成されたかを判断できます。これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。

Q: Config Rule とは何ですか?

Config Rule はリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更に照らして評価されます。ルールによるリソースの設定変更の評価結果はダッシュボードで確認できます。Config Rules を使用することで、設定の観点からの全体的なコンプライアンスおよびリスクステータスの評価、経時的なコンプライアンス傾向の確認、どの設定変更によってリソースがルールに違反したかの特定が可能です。

Q: コンフォーマンスパックとは何ですか?

コンフォーマンスパックは、Config ルールと修復操作の集合で、AWS Config のモデルに共通するフレームワークを使用して構築されています。前述の Config アーティファクトをパッケージ化することで、複数のアカウントとリージョンにわたるガバナンスポリシーと設定コンプライアンスにおけるデプロイとレポーティングの要素を簡素化し、リソースがコンプライアンス違反の状態にある時間を削減できます。

Q: AWS Config のメリットは何ですか?

AWS Config では、初期費用なしでリソースの設定を簡単に追跡でき、データ収集のためのエージェントをインストールおよび更新したり、大規模なデータベースを管理したりといった複雑な作業を回避できます。AWS Config を有効にすると、AWS リソースに関連付けられたすべての設定属性の、継続的にアップデートされる詳細を確認できます。設定が更新されるたびに Amazon Simple Notification Service (SNS) が通知を送信します。

Q: AWS Config は監査にどう役立ちますか?

AWS Config を使用して、リソースの設定履歴にアクセスできます。設定の変更を、変更の原因となった可能性のある AWS CloudTrail イベントと結び付けることができます。この情報は、「誰が変更したか」、「どの IP アドレスから変更されたか」などの詳細から、AWS リソースと関連リソースにもたらされた変更の影響までを完全に可視化します。この情報を使用して、一定期間のコンプライアンスの監査および評価に役立つレポートを生成できます。

Q: どのような人が AWS Config および Config Rules を使用しますか?

リソースの設定を継続的に評価することで AWS におけるセキュリティおよびガバナンス体制の向上を目指すすべての AWS のお客様が、この機能を有効に活用していただけます。リソース設定のベストプラクティスを推奨する大規模組織の管理者はこれらのルールを Config Rules として体系化し、ユーザーによるセルフガバナンスを可能にできます。使用状況および設定を監視して脆弱性を検出する情報セキュリティのエキスパートも Config Rules を活用できます。特定の規準 (PCI-DSS、HIPAA など) に準拠させる必要があるワークロードをお持ちのお客様は、Config Rules の機能を使用して AWS インフラストラクチャ設定のコンプライアンスを評価し、監査人に向けてレポートを生成できます。また、頻繁に変更される大規模な AWS インフラストラクチャまたはコンポーネントの運用者はトラブルシューティングの目的で Config Rules を使用できます。リソース設定の変更を追跡する、リソース設定に対する質問に回答する、コンプライアンスを実現する、トラブルシューティングまたはセキュリティ分析を実施する必要があるお客様に AWS Config のご利用をお勧めします。

Q: どのような人が AWS Config コンフォーマンスパックを使用しますか?

複数のアカウントにわたる AWS リソース設定のためのコンプライアンスパッケージを構築しデプロイするためのフレームワークが必要で、そのフレームワークが AWS APN パートナーまたはユーザー自身によって作成されたルールと修復操作を含む場合、コンフォーマンスパックを使用します。このフレームワークは、セキュリティ、DevOps、および他のペルソナのカスタマイズされたパックを構築するために利用でき、お客様はコンフォーマンスパックのサンプルテンプレートのいずれかを使用して、簡単に使用を開始できます。

Q: このサービスは設定がコンプライアンスに違反しないことを保証するものですか?

Config ルールとコンフォーマンスパックは、リソースが指定した設定ルールに従っているかどうかに関する情報を提供します。ルール設定に応じて、定期的にまたは設定変更を検出したときに、またはこの両方のタイミングで、リソース設定を Config ルールと照合し評価します。リソースのコンプライアンス準拠を保証したり、ユーザーによるコンプライアンス違反のアクションの実行を防いだりするサービスではありません。ただし各 Config ルールについて適切な修復操作を設定することで、コンプライアンス違反のリソースを、コンプライアンスに準拠した状態にするために利用できます。

Q: このサービスを使用して、ユーザーによるコンプライアンス違反のアクション実行を防止できますか?

Config Rules はエンドユーザーによる AWS の消費方法に直接影響を与えません。設定変更が完了し、AWS Config によって記録された場合のみリソースの設定が評価されます。Config Rules によってユーザーによるコンプライアンス違反のアクションの実行を防ぐことはできません。ユーザーが AWS でプロビジョニングできるリソースおよびプロビジョニングの際に使用が許可される設定パラメータを管理するには、AWS Identity and Access Management (IAM) ポリシーと AWS Service Catalog をそれぞれ使用してください。

Q: リソースをプロビジョニングする前にルールによる評価を実行できますか?

Config Rules では、リソースの設定項目 (CI) が AWS Config によって記録されるとルールによる評価が実行されます。リソースをプロビジョニングする前、またはリソースの設定を変更する前にルールによる評価を実行することはできません。

Q: AWS Config は AWS CloudTrail とどのように連携しますか?

AWS CloudTrail は、ユーザー API アクティビティをアカウントに記録し、お客様がそのアクティビティに関する情報にアクセスできるようにします。発信者の詳細、API の呼び出し時間、リクエストパラメータ、AWS のサービスによるレスポンス要素などの API アクションの完全な詳細を取得できます。AWS Config は AWS リソースの特定の時点での設定詳細を記録し、これは設定項目 (CI) と呼ばれます。お客様は CI を使用して、ある特定の時点で「AWS リソースがどう設定されていたか」という質問に回答できます。AWS CloudTrail を使用すると、「誰がこのリソースを変更するために API の呼び出しを実行したか」という質問に回答できます。 たとえば、 AWS Config に AWS マネジメントコンソールを使用して、「Production-DB」のセキュリティグループが過去に誤って設定されたことを検知できます。統合された AWS CloudTrail の情報を使用することで、「Production-DB」のセキュリティをどのユーザーが誤って設定したのかも特定できます。

Q: 中央アカウントから複数のアカウントやリージョンのコンプライアンス情報をモニタリングできますか?

AWS Config では、マルチアカウント、マルチリージョンのデータ集約機能を使用して、複数のアカウントやリージョンのコンプライアンス状況を簡単にモニタリングできます。設定アグリゲータを任意のアカウントに作成して、他のアカウントからコンプライアンスの詳細情報を集約できます。この機能は AWS Organizations とも統合されているため、組織内のすべてのアカウントからデータを集めることもできます。

Q: ServiceNow インスタンスと Jira Service Desk インスタンスを AWS Config に接続できますか?

はい。AWS Service Management Connector for ServiceNow と AWS Service Management Connector for Jira Service Desk (以前の AWS Service Catalog Connector) を使用すると、ServiceNow と Jira Service Desk のエンドユーザーは ServiceNow と Jira Service Desk を使用して、AWS のリソースをネイティブにプロビジョニング、管理、操作できます。AWS Service Management Connector を使用すると、ServiceNow ユーザーは ServiceNow で AWS Config による構成アイテムビューでリソースをシームレスに追跡できます。AWS Service Management Connector を使用すると、Jira Service Desk ユーザーは問題リクエスト内でリソースを追跡できます。これにより、ServiceNow ユーザーと Jira Service Desk ユーザーの AWS 製品のリクエストアクションが簡素化されるとともに、ServiceNow と Jira Service Desk の管理者が AWS 製品についてのガバナンスを確保し、当該製品を監視することが可能となります。

ServiceNow 向け AWS Service Management Connector は、ServiceNow ストアで無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

AWS Service Management Connector for Jira Service Desk は、Atlassian Marketplace で無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

開始方法

Q: サービスの利用を開始するにはどうすればよいですか?

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q: どうすればリソースの設定にアクセスできますか?

AWS マネジメントコンソール、AWS コマンドラインインターフェイス、SDK を使用して現在および過去のリソース設定を確認できます。

より詳しい情報は、「AWS Config ドキュメント」をご覧ください。

Q: AWS Config はリージョンごとに有効になるのですか、それとも全体で有効になるのですか?

アカウント内のリージョンごとに、AWS Config を有効にできます。

Q: AWS Config は異なる AWS アカウントからデータを収集できますか?

はい。適切な IAM ポリシーを S3 バケットに適用すれば、異なるアカウントから 1 つの S3 バケットに設定更新の情報を集めるように AWS Config を設定できます。また、適切な IAM ポリシーを 1 つの SNS トピックに適用すれば、その同じリージョンの SNS トピックに通知を公開できます。

Q: AWS Config 自体での API アクティビティは AWS CloudTrail によって記録されますか?

はい。AWS Config API を使用した設定データの読み込みなど、AWS Config API のすべてのアクティビティは AWS CloudTrail によって記録されます。

Q: リソースのタイムラインビューの時間とタイムゾーンは何を表していますか? また、サマータイムはどうなりますか?

AWS Config には、タイムラインのリソースに対して設定項目 (CI) が記録された時間が表示されます。すべての時間は協定世界時 (UTC) で記録されます。マネジメントコンソールでタイムラインを表示すると、現在のタイムゾーン (該当する場合、サマータイムに合わせて調整) が使用され、記録されているすべての時間がタイムラインビューで表示されます。

Config Rules

Q: リソースの設定とは何ですか?

リソースの設定は、AWS Config の設定項目 (CI) に含まれるデータによって定義されるものです。Config Rules を最初にリリースするときに、リソースの CI に関連するルールが利用可能になります。Config Rules はこの情報と、アタッチされたその他のリソース、営業時間など、関連するすべての情報を使用し、リソース設定のコンプライアンスを評価します。

Q: ルールとは何ですか?

ルールとはリソースの設定項目 (CI) の理想的な属性値であり、これらの属性値と AWS Config によって報告された CI を比較することによって評価されます。ルールには以下の 2 種類があります。

AWS のマネージドルール: AWS のマネージドルールは、AWS によって事前にビルドおよび管理されます。有効にするルールを選択し、いくつかの設定パラメータを入力すれば開始できます。詳細 »

お客様が管理するルール: お客様が管理するルールは、お客様自身で定義し、作成します。カスタムルールの一部として呼び出すことができる関数を AWS Lambda で作成し、これらの関数をアカウントで実行できます。詳細 »

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回のクリックで AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q: どのようにしてルールを作成できますか?

ルールは基本的に AWS アカウント管理者が設定します。ルールは AWS のマネージドルール (AWS が提供する事前定義のルール) を活用して、またはお客様が管理するルールによって作成できます。AWS のマネージドルールの場合、そのルールを使用するアカウントに対して自動的にルールの更新が適用されます。お客様が管理するモデルの場合はお客様がルールの完全なコピーを所有し、自身のアカウントに対して実行します。ルールはお客様が保守します。

Q: 作成できるルールの数はどれくらいですか?

デフォルトでは、AWS アカウントに最大 150 個のルールを作成できます。また、AWS サービスの制限ページから、アカウントのルール数の制限の引き上げをリクエストできます。

Q: ルールによる評価はどのように実行されますか?

すべてのルールが変更によってトリガーされるルールとして、または定期的に実行されるルールとして設定できます。変更によってトリガーされるルールは、AWS Config が指定されたいずれかのリソースの設定変更を記録すると実行されます。さらに、以下のうち 1 つを指定する必要があります。

タグキー (および任意の値): 指定したタグキーと値でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソースタイプ (複数可): 指定したリソースタイプでリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

リソース ID: 指定したリソースタイプおよびリソース ID でリソースに対する設定変更が記録されると、ルールによる評価がトリガーされます。

定期的に実行されるルールは特定の頻度でトリガーされます。選択可能な頻度は 1 時間、3 時間、6 時間、12 時間、24 時間です。定期的に実行されるルールの場合、ルールに公開されているすべてのリソースの現在の設定項目 (CI) に対する完全なスナップショットが使用されます。

Q: 評価とは何ですか?

ルールによる評価によって、特定時点でルールとリソースが一致しているかどうかが判断されます。これは、ルールをリソースの設定と比較して評価した結果です。Config Rules は各評価を取得し、保存します。結果にはリソース、ルール、評価が実行された時間、コンプライアンス違反の原因となった設定項目 (CI) へのリンクが含まれます。

Q: コンプライアンスとはどういう意味ですか?

コンプライアンスを遵守しているとは、リソースが適用されるルールすべてに従っていることを指します。それ以外の場合はコンプライアンス違反となります。同様に、あるルールによって評価したすべてのリソースがルールに従っている場合、そのルールはコンプライアンスを遵守していることになります。それ以外の場合はコンプライアンス違反となります。ルールの権限が不足している場合などでは、リソースに対する評価が実行されず、データ不足のステータスとなる可能性があります。このステータスはリソースまたはルールのコンプライアンス状況の判断材料から除外されます。

Q: Config Rules のダッシュボードにはどのような情報が表示されますか?

Config Rules のダッシュボードには AWS Config によって追跡されたリソースの概要と、リソースおよびルールごとの現在のコンプライアンス状況のサマリが表示されます。リソースごとにコンプライアンス状態を確認すると、そのリソースに適用されているルールの中に現在コンプライアンス違反があるかどうかが判断できます。ルールごとにコンプライアンス状態を確認すると、ルールが適用されているリソースの中に現在コンプライアンス違反があるかどうかが判断できます。このサマリビューを使用すると、リソース設定のタイムラインを詳細に確認してどの設定パラメータが変更されたかを判断できます。ダッシュボードを使用すれば概要から開始してより詳細なビューに移動し、コンプライアンス状況の変化について、またどの変更がコンプライアンス違反の原因となったかについて完全な情報を取得できます。

コンフォーマンスパック

Q: AWS Config ルールとコンフォーマンスパックは、それぞれどのような場合に使用しますか?

各 AWS Config ルールは、1 つまたは複数のアカウントのリソース設定のコンプライアンス状態を評価するために使用できます。コンフォーマンスパックは、クリック 1 つで組織全体にわたりデプロイできる 1 つのエンティティとして、修復操作とともにルールをパッケージ化するという別のメリットを提供します。コンフォーマンスパックは、複数アカウントを管理している場合に、大規模なコンプライアンス管理とレポーティングを簡素化することを意図したものです。コンフォーマンスパックは、パッケージレベルでイミュータビリティとともに集約されたコンプライアンスのレポーティング機能を提供するように設計されています。これを利用すれば、コンフォーマンスパック内の管理された AWS Config ルールと修復のドキュメントが、組織の個々のメンバーアカウントにより編集または削除されることがありません。

Q: AWS Config と AWS Config ルールは AWS Security Hub にどのように関連していますか?

AWS Security Hub は、セキュリティおよびコンプライアンス体制の管理をサービスとして提供するセキュリティおよびコンプライアンスサービスです。AWS リソースの設定を評価するための主要なメカニズムとして、AWS Config および Config ルールを使用します。AWS Config ルールを使用して、リソースの設定を直接評価することもできます。Config ルールは、AWS Control Tower や AWS Firewall Manager などの他の AWS のサービスでも使用されます。

Q: どのタイミングで AWS Security Hub および AWS Config コンフォーマンスパックを使用すればよいですか?

PCI DSS などのコンプライアンス標準がすでに AWS Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の AWS Security Hub サービスを挙げることができます。Security Hub の Amazon Detective との統合を介して検出結果を調査できるほか、Security Hub の Amazon EventBridge との統合を使用して、自動または半自動の修正アクションを構築できます。ただし、セキュリティ、運用、コストの最適化チェックを含む独自のコンプライアンスまたはセキュリティ標準を組み立てる場合は、AWS Config コンフォーマンスパックが適しています。Config コンフォーマンスパックは、Config ルールのグループと関連する修正アクションを単一のエンティティにパッケージ化することにより、Config ルールの管理を簡素化します。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS が提供する Config コンフォーマンスパックのサンプルから始めて、必要に応じてカスタマイズできます。

Q: AWS Security Hub と AWS Config の両方のコンフォーマンスパックは継続的なコンプライアンス監視をサポートしていますか?

はい、AWS Security Hub と AWS Config の両方のコンフォーマンスパックは、AWS Config と Config ルールへの依存を前提として、継続的なコンプライアンス監視をサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検出したときにトリガーできます。これにより、AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスを継続的に監査および評価できます。

Q: コンフォーマンスパックの使用を開始するにはどうすればよいですか?

CLI または AWS Config コンソールからサンプルテンプレートを使用してコンフォーマンスパックを作成するのが一番簡単です。サンプルテンプレートには、Amazon S3 Operational Best Practices、Amazon DynamoDB Operational Best Practices、および Operational Best Practices for PCI を含むものがあります。これらのテンプレートは YAML で記述されています。これらのテンプレートは、ドキュメントサイトからダウンロードし、任意のテキストエディタを使用してユーザーの環境に合わせて編集できます。パック内に以前に記述したカスタムの AWS Config ルールを追加することもできます。

Q: AWS Config のこの機能の使用には費用がかかりますか?

コンフォーマンスパックには階層化された料金モデルが適用されます。詳細については、AWS Config の料金表のページをご参照ください。

マルチアカウント、マルチリージョンでのデータ集約

Q: マルチアカウント、マルチリージョンのデータ集約はどのような機能ですか?

AWS Config のデータ集約機能では、複数のアカウントやリージョンの AWS Config データを単一のアカウントやリージョンに集約できます。マルチアカウントのデータ集約は、中央の IT 管理者がエンタープライズ内にある複数の AWS アカウントのコンプライアンスをモニタリングするのに便利です。

Q: データ集約機能を使って複数アカウントの Config Rules を集中的にプロビジョニングできますか?

データ集約機能を使って複数アカウントにルールをプロビジョニングすることはできません。これは純粋に、コンプライアンスの可視性を実現するレポート機能です。複数のアカウントやリージョンにルールをプロビジョニングする場合は、CloudFormation StackSet を使用できます。こちらのブログに有用な情報が載せられています。

Q: 自分のアカウントでデータ集約を有効にするにはどうすればよいですか?

Config および Config Rules が自分のアカウントと集約対照のアカウントで有効化されると、アカウントにアグリゲータを作成してデータ集約を有効化できます。詳細はこちらをご覧ください。

Q: アグリゲータとは何ですか?

アグリゲータは AWS Config のリソースタイプで、複数のアカウントやリージョンから AWS Config データを収集します。アグリゲータを使用して、複数のアカウントやリージョンについて AWS Config に記録されたリソース設定とコンプライアンスデータを表示できます。

Q: [Aggregated] ビューにはどのような情報が表示されますか?

[Aggregated] ビューには、組織全体でのルール違反合計数、違反リソース数の多いルールのトップ 5、ルール違反の多い AWS アカウントのトップ 5 が表示されます。これによりルールに違反しているリソースについての詳細、および、あるアカウントが違反しているルールのリストを見ることができます。

Q: AWS Organizations は利用していませんが、データ集約機能を使用できますか?

ファイルのアップロードまたは各アカウントの個別入力によって、Config データの集約対象アカウントを指定できます。AWS Organization に属していないアカウントでは、アカウントそれぞれに対してアグリゲータアカウントを明示的に承認する必要があることに注意してください。詳細はこちらをご覧ください。

Q: アカウントは 1 つしか使用していないのですが、データ集約機能を使用する利点はありますか?

データ集約機能はマルチリージョンの集約にも役立ちます。この機能を使えば、複数リージョンにまたがるアカウントの Config データを集約できます。

Q: マルチアカウント、マルチリージョンのデータ集約機能はどのリージョンで使用できますか?

マルチアカウント、マルチリージョンのデータ集約機能を使用できるリージョンについての詳細は、以下のページを参照してください。

https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html

Q: この機能がサポートされていないリージョンを含むアカウントがある場合、どうなりますか?

アグリゲータを作成するときには、データの集約対象となるリージョンを指定します。リストには、この機能が利用できるリージョンのみ表示されます。[all regions] を選択することもできます。この場合、その他のリージョンがデータの集約に対応すると、自動的にデータが集計されます。

サービスとリージョンのサポート

Q: AWS Config では、どの AWS リソースタイプがサポートされていますか?

サポートされているリソースタイプの完全なリストは、こちらのドキュメントを参照してください。

Q: AWS Config はどのリージョンで利用可能ですか?

AWS Config が利用可能なリージョンの詳細については、このページをご覧ください。

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

リソース設定

Q: 設定項目とは何ですか?

設定項目 (CI) とは、特定時点でのリソースの設定です。CI は 5 つのセクションで構成されています。

  1. 異なるリソースタイプでも共通な基本情報 (Amazon リソース名、タグなど)。
  2. リソースに特有な設定データ (EC2 インスタンスタイプなど)。
  3. 他のリソースとの相関関係 (例: EC2::Volume vol-3434df43 は EC2 instance i-3432ee3a に「アタッチされています」)
  4. このステータスに関連する AWS CloudTrail イベント ID (AWS リソースのみ)
  5. CI のバージョン、CI がキャプチャされた時間など、その CI についての情報が特定できるメタデータ。

設定項目の詳細

Q: カスタムの設定項目とは何ですか?

カスタムの設定項目は、サードパーティまたはカスタムのリソースのための設定項目です。オンプレミスのデータベース、Adrive Directory サーバー、GitHub のようなバージョン管理システム、Datadog のようなサードパーティのモニタリングツールなどがその例です。

Q: AWS Config の関連性とは何ですか、またどのように使用するのですか?

AWS Config は変更を記録する際にリソース同士の関連性を考慮します。例えば、新しい Amazon EC2 セキュリティグループが Amazon EC2 インスタンスと関連付けられている場合、AWS Config ではプライマリリソースと Amazon EC2 セキュリティグループの両方、および Amazon EC2 インスタンスといった関連リソースの構成の更新を記録します (これらのリソースが実際に変更された場合)。

Q: AWS Config では、リソースのこれまでの状態がすべて記録されますか?

AWS Config では、リソースの設定の変更を検出し、その変更によってもたらされた設定状態を記録します。リソースに対していくつかの設定変更が立て続けに (数分間隔など) 行われた場合、Config では、そのリソースへの変更全体の累積的影響を表す最新の設定のみが記録されます。このような場合、Config では、設定項目の [relatedEvents] フィールドに最新の変更のみを示します。これにより、Config が途中の一時的な状態を記録するまで待機しなくても、ユーザーとプログラムはインフラストラクチャの設定を続けて変更することができます。

Q: そのリソースでの API アクティビティによらない設定変更は AWS Config によって記録されますか?

はい。AWS Config では、まだ記録されていない変更がないかリソースの設定を定期的にスキャンし、そのような変更を記録します。このようなスキャンによって記録された CI のペイロードには、[relatedEvent] フィールドがありません。記録済みの状態とは異なる最新の状態のみが選択されています。

Q: AWS Config では EC2 インスタンス内のソフトウェアに対する設定変更は記録されますか?

はい。AWS Config では、AWS アカウント内の EC2 インスタンス内に加え、オンプレミス環境の仮想マシン (VM) やサーバー内のソフトウェアに対する設定変更を記録できます。AWS Config で記録される設定情報には、オペレーティングシステム更新、ネットワーク設定、インストール済みのアプリケーションなどがあります。AWS Config Rules を使用して、インスタンス、VM、およびサーバーがガイドラインに従っているかどうかを評価できます。AWS Config が提供する詳細までの可視性と連続的モニタリング機能によって、コンプライアンスを評価し、運用上の問題をトラブルシューティングできます。

Q: 定期的なルール評価の結果、以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は通知を送信し続けますか?

AWS Config は、コンプライアンス状況に変化があったときにのみ通知を送信します。以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、Config は新しい通知を送信しません。コンプライアンス状況が「コンプライアンス遵守」に変化した場合、状況変化の通知がお客様に届きます。

Q: Config ルールによって評価されるようリソースにフラグを付ける、またはリソースを評価から除外することはできますか?

Config ルールを構成するとき、指定されたリソースタイプ、または特定のタグが付いたリソースに対してルールが評価を実行するかどうかを指定できます。

料金

Q: AWS Config ではどのように課金されますか?

AWS Config では、アカウントの記録された設定項目の数、アクティブな AWS Config ルールの評価数、コンフォーマンスパックの評価数に基づいて課金されます。設定項目は、AWS アカウント内にある、リソースの設定状態を記録したものです。AWS Config のルール評価は、AWS アカウントで AWS Config ルールを使ってリソースのコンプライアンス状態を評価することです。一方、コンフォーマンスパック評価は、コンフォーマンスパック内で AWS Config ルールを使ってリソースを評価することです。詳細については、https://aws.amazon.com/config/pricing/をご参照ください。

Q: AWS Config ルールの料金に AWS Lambda 関数の利用料は含まれますか?

お客様は AWS が提供する一連のマネージドルールから選択するか、AWS Lambda 関数で独自のルールを作成できます。マネージドルールは AWS によって完全に管理され、ルールを実行するために追加の AWS Lambda 利用料は発生しません。マネージドルールを有効にし、必要なパラメータを入力し、それぞれのアクティブな AWS Config ルールの単一月額料金を支払うだけです。カスタムルールを使用すると、使用中のアカウント内の AWS Lambda 関数として実行され、そのすべてをお客様がコントロールできます。カスタム AWS Config ルールには、アクティブなルールに対する月額料金に加えて、通常の AWS Lambda 無料利用枠* および関数実行料金が適用されます。


*AWS 無料利用枠は、AWS 中国 (北京) リージョンまたは AWS 中国 (寧夏) リージョンではご利用いただけません。

Q: カスタム AWS Config ルールのための Lambda 関数に変更を加えたいと考えています。推奨される方法とはどのようなものですか?

新しいルールを作成し、アクティブになるたびに料金が発生します。ルールに関連付けられた Lambda 関数の更新または置き換えが必要な場合は、ルールを削除して新しいルールを作成するのではなく、ルールを更新することをお勧めします。

パートナーソリューション

Q: AWS Config にはどのような AWS パートナーソリューションが利用できますか?

Splunk、ServiceNow、Evident.IO、CloudCheckr、Redseal Networks、RedHat CloudForms などの APN パートナーソリューションは、AWS Config のデータと完全に統合されたサービスを提供しています。2ndWatch や CloudNexa といったマネージドサービスプロバイダーも AWS Config との統合を発表しました。さらに、Config ルールを使用して、CloudHealth Technologies、AlertLogic、および TrendMicro といったパートナーが顧客の利用可能な統合サービスを提供しています。これらのソリューションでは変更管理、セキュリティ分析などが利用でき、AWS リソースの設定を視覚化、モニタリング、管理するのに役立ちます。

詳細については、こちらをクリックしてください。

構築を始めましょう。
AWS Config の使用を開始する
ご不明な点がおありですか?
お問い合わせ