全般

Q: AWS Config とは?

AWS Config は、セキュリティとガバナンスのためのフルマネージド型のサービスであり、ご利用のリソースのインベントリ、構成履歴、構成変更通知の機能を備えています。AWS Config では、既存の AWS リソースの特定やサードパーティーリソースの設定の記録、構成の詳細すべてを含めたお客様の リソースインベントリのエクスポートが可能になり、特定の時点でどのようにリソースが構成されたかを判断できます。これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを使用します。

Q: AWS Config ルールとは?

AWS Config ルールはリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更に照らして評価されます。ルールによるリソースの設定変更の評価結果はダッシュボードで確認できます。AWS Config ルールを使用することで、設定の観点からの全体的なコンプライアンスおよびリスクステータスの評価、経時的なコンプライアンス傾向の確認、どの設定変更によってリソースがルールに違反したかの特定が可能です。

Q: コンフォーマンスパックとは何ですか?

コンフォーマンスパックは、AWS Config ルールと修復操作の集合で、AWS Config のモデルに共通するフレームワークを使用して構築されています。前述の AWS Config アーティファクトをパッケージ化することで、複数のアカウントとリージョンにわたるガバナンスポリシーと設定コンプライアンスにおけるデプロイとレポーティングの要素を簡素化し、リソースがコンプライアンス違反の状態にある時間を削減できます。

Q: AWS Config のメリットは?

AWS Config では、初期費用なしでリソースの設定を簡単に追跡でき、データ収集のためのエージェントをインストールおよび更新したり、大規模なデータベースを管理したりといった複雑な作業を回避できます。AWS Config を有効にすると、AWS リソースに関連付けられたすべての設定属性の、継続的にアップデートされる詳細を確認できます。設定が更新されるたびに Amazon Simple Notification Service (SNS) が通知を送信します。

Q: AWS Config は監査にどう役立ちますか?

AWS Config を使用して、リソースの設定履歴にアクセスできます。設定の変更を、変更の原因となった可能性のある AWS CloudTrail イベントと結び付けることができます。この情報は、「誰が変更したか」、「どの IP アドレスから変更されたか」などの詳細から、AWS リソースと関連リソースにもたらされた変更の影響までを完全に可視化します。この情報を使用して、一定期間のコンプライアンスの監査および評価に役立つレポートを生成できます。

Q: どのような人が AWS Config および AWS Config ルールを使用しますか?

リソースの設定を継続的に評価することで AWS におけるセキュリティおよびガバナンス体制の向上を目指すすべての AWS のお客様が、この機能を有効に活用していただけます。リソース設定のベストプラクティスを推奨する大規模組織の管理者はこれらのルールを AWS Config ルールとして体系化し、ユーザーによるセルフガバナンスを定着させます。使用状況および設定を監視して脆弱性を検出する情報セキュリティのエキスパートも AWS Config ルールを活用できます。特定の規準 (PCI-DSS、HIPAA など) に準拠しなければならないワークロードがある場合は、Config Rules の機能を使用して AWS インフラストラクチャ設定のコンプライアンスを評価し、監査人に向けてレポートを生成できます。また、頻繁に変更される大規模な AWS インフラストラクチャまたはコンポーネントの運用者はトラブルシューティングの目的で AWS Config ルールを使用できます。リソース設定の変更を追跡する、リソース設定に対する質問に回答する、コンプライアンスを実現する、トラブルシューティングまたはセキュリティ分析を実施する必要がある場合は、AWS Config のご利用をお勧めします。

Q: どのような人が AWS Config コンフォーマンスパックを使用しますか?

複数のアカウントにわたって AWS リソース設定用のコンプライアンスパッケージを構築してデプロイするフレームワークを探している場合は、コンフォーマンスパックを使用することをお勧めします。このフレームワークは、セキュリティ、DevOps、および他のペルソナのカスタマイズされたパックを構築するために利用でき、コンフォーマンスパックのサンプルテンプレートのいずれかを使用して、簡単に使用を開始できます。

Q: このサービスは設定がコンプライアンスに違反しないことを保証するものですか?

AWS Config ルールとコンフォーマンスパックは、リソースが指定した設定ルールに従っているかどうかに関する情報を提供します。ルール設定に応じて、定期的にまたは設定変更を検出したときに、またはこの両方のタイミングで、リソース設定を AWS Config ルールと照合し評価します。リソースのコンプライアンス準拠を保証したり、ユーザーによるコンプライアンス違反のアクションの実行を防いだりするサービスではありません。ただし各 AWS Config ルールについて適切な修復操作を設定することで、コンプライアンス違反のリソースを、コンプライアンスに準拠した状態にするために利用できます。

Q: このサービスを使用して、ユーザーによるコンプライアンス違反のアクション実行を防止できますか?

AWS Config ルールはエンドユーザーによる AWS の消費方法に直接影響を与えません。AWS Config ルールでは、設定変更が完了し、AWS Config によって記録された場合のみ、リソースの設定が評価されます。AWS Config ルールによってユーザーによるコンプライアンス違反のアクションの実行を防ぐことはできません。AWS でプロビジョニングできるリソースおよびプロビジョニングの際に使用される設定パラメータを管理するには、AWS Identity and Access Management (IAM) ポリシーと AWS Service Catalog をそれぞれ使用します。

Q: リソースをプロビジョニングする前にルールによる評価を実行できますか?

はい。AWS Config ルールは、プロアクティブモードのみ、ディテクティブのみ、またはプロアクティブモードとディテクティブモードの両方に設定できます。これらのルールの全リストについては、ドキュメントを参照してください

Q: プロビジョニング後のリソースに、既に AWS Config ルールを使用しています。同じルールをプロアクティブモードで実行するにはどうすればいいですか?

既存の PutConfigRule API または AWS Config コンソールを使用して、アカウントの AWS Config ルールでプロアクティブモードを有効にすることができます。

Q: AWS Config はオンプレミスまたは他のクラウドのリソースの設定を記録できますか?

AWS Config は、オンプレミスサーバー、Software as a Service (SaaS) モニタリングツール、バージョン管理システムなどのサードパーティリソースやカスタムリソースタイプの設定を記録するのに役立ちます。そのためには、リソースタイプの設定に準拠して検証するリソースプロバイダースキーマを作成する必要があります。AWS CloudFormation または Infrastructure as Code (IaC) ツールを使用してカスタムリソースを登録する必要があります。

すべてのリソースタイプを記録するように AWS Config を設定した場合、AWS CloudFormation を通じて管理 (作成、更新、または削除) されたサードパーティリソースは、設定項目として AWS Config で自動的に追跡されます。これに必要な手順を詳しく調べ、どの AWS リージョンで利用できるかを理解するには、AWS Config 開発者ガイド: 「サードパーティのリソースの記録設定」を参照してください。

Q: AWS Config は AWS CloudTrail とどのように連携しますか?

AWS CloudTrail は、ユーザー API アクティビティをアカウントに記録し、お客様がそのアクティビティに関する情報にアクセスできるようにします。発信者の詳細、API の呼び出し時間、リクエストパラメータ、AWS のサービスによるレスポンス要素などの API アクションの完全な詳細を取得できます。AWS Config は AWS リソースの特定の時点での設定詳細を記録し、これは設定項目 (CI) と呼ばれます。お客様は CI を使用して、ある特定の時点で「AWS リソースがどう設定されていたか」という質問に回答できます。CloudTrail を使用すると、「誰がこのリソースを変更するために API の呼び出しを実行したか」という質問に回答できます。 たとえば、AWS Config に AWS マネジメントコンソールを使用して、「Production-DB」のセキュリティグループが過去に誤って設定されたことを検知できます。統合された CloudTrail の情報を使用することで、「Production-DB」のセキュリティグループをどのユーザーが誤って設定したのかも特定できます。

Q: 中央アカウントを通じて複数のアカウントやリージョンのコンプライアンス情報をモニタリングできますか?

AWS Config では、マルチアカウント、マルチリージョンのデータ集約機能を使用して、複数のアカウントやリージョンのコンプライアンス状況を簡単にモニタリングできます。設定アグリゲータを任意のアカウントに作成して、他のアカウントからコンプライアンスの詳細情報を集約できます。この機能は AWS Organizations でも活用できるため、組織内のすべてのアカウントからデータを集めることもできます。

Q: ServiceNow インスタンスと Jira Service Desk インスタンスを AWS Config に接続できますか?

はい。AWS Service Management Connector for ServiceNow と AWS Service Management Connector for Jira Service Desk を使用すると、ServiceNow と Jira Service Desk のエンドユーザーは ServiceNow と Jira Service Desk を使用して、AWS のリソースをネイティブにプロビジョニング、管理、操作できます。AWS Service Management Connector を使用すると、ServiceNow ユーザーは ServiceNow で AWS Config による構成アイテムビューでリソースをシームレスに追跡できます。AWS Service Management Connector を使用すると、Jira Service Desk ユーザーは問題リクエスト内でリソースを追跡できます。これにより、ServiceNow ユーザーと Jira Service Desk ユーザーの AWS 製品のリクエストアクションが簡素化されるとともに、ServiceNow と Jira Service Desk の管理者が AWS 製品についてのガバナンスを確保し、当該製品を監視することが可能となります。

AWS Service Management Connector for ServiceNow は、ServiceNow ストアで無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

AWS Service Management Connector for Jira Service Desk は、Atlassian Marketplace で無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

開始方法

Q: サービスの利用を開始するにはどうすればよいですか?

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回の選択で AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q: どうすればリソースの設定にアクセスできますか?

AWS マネジメントコンソール、AWS コマンドラインインターフェイス、SDK を使用して現在および過去のリソース設定を確認できます。

より詳しい情報は、「AWS Config ドキュメント」を参照してください。

Q: AWS Config はリージョンごとに有効になるのですか、それとも全体で有効になるのですか?

アカウント内のリージョンごとに、AWS Config を有効にできます。

Q: AWS Config は異なる AWS アカウントからデータを収集できますか?

はい。適切な IAM ポリシーを Amazon S3 バケットに適用すれば、異なるアカウントから 1 つの Amazon Simple Storage Service (S3) バケットに設定更新の情報を集めるように AWS Config を設定できます。また、適切な IAM ポリシーを 1 つの SNS トピックに適用すれば、その同じリージョンの SNS トピックに通知を公開できます。

Q: AWS Config 自体での API アクティビティは CloudTrail によって記録されますか?

はい。AWS Config API オペレーションを使用した設定データの読み込みなど、AWS Config API のすべてのアクティビティは CloudTrail によって記録されます。

Q: リソースのタイムラインビューの時間とタイムゾーンは何を表していますか? また、サマータイムはどうなりますか?

AWS Config には、タイムラインのリソースに対して設定項目 (CI) が記録された時間が表示されます。すべての時間は協定世界時 (UTC) で記録されます。マネジメントコンソールでタイムラインを表示すると、現在のタイムゾーン (該当する場合、サマータイムに合わせて調整) が使用され、記録されているすべての時間がタイムラインビューで表示されます。

AWS Config ルール

Q: リソースの設定とは何ですか?

リソースの設定は、AWS Config の設定項目 (CI) に含まれるデータによって定義されるものです。AWS Config ルールを最初にリリースするときに、リソースの CI に関連するルールが利用可能になります。AWS Config ルールはこの情報と、アタッチされたその他のリソース、営業時間など、関連するすべての情報を使用し、リソース設定のコンプライアンスを評価します。

Q: ルールとは何ですか?

ルールとはリソースの設定項目 (CI) の理想的な属性値であり、これらの属性値と AWS Config によって報告された CI を比較することによって評価されます。ルールには以下の 2 種類があります。

AWS のマネージドルール: AWS のマネージドルールは、AWS によって事前にビルドおよび管理されます。有効にするルールを選択し、いくつかの設定パラメータを入力すれば開始できます。詳細 »

お客様が管理するルール: お客様が管理するルールは、お客様自身で定義し、作成します。カスタムルールの一部として呼び出すことができる関数を AWS Lambda で作成し、これらの関数はアカウントに適用されます。詳細 »

AWS Config を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回の選択で AWS Config を有効にできます。詳細については、ご利用開始にあたってをご覧ください。

Q: どのようにしてルールを作成できますか?

ルールは基本的に AWS アカウント管理者が設定します。ルールは AWS のマネージドルール (AWS が提供する事前定義のルール) を活用して、またはお客様が管理するルールによって作成できます。AWS のマネージドルールの場合、そのルールを使用するアカウントに対して自動的にルールの更新が適用されます。お客様が管理するモデルでは、お客様がルールの完全なコピーを持ち、自身のアカウントに対してルールを適用します。ルールはお客様が保守します。

Q: 作成できるルールの数はどれくらいですか?

デフォルトでは、AWS アカウントに最大 150 個のルールを作成できます。また、AWS サービスの制限ページから、アカウントのルール数の制限の引き上げをリクエストできます。

Q: ルールによる評価はどのように実行されますか?

すべてのルールが変更によってトリガーされるルールとして、または定期的に実行されるルールとして設定できます。変更によってトリガーされるルールは、AWS Config が指定されたいずれかのリソースの設定変更を記録すると適用されます。さらに、以下のうち 1 つを指定する必要があります。

  • タグキー (および任意の値): 指定したタグキーと値でリソースに対する設定変更が記録されると、ルールによる評価が開始されます。
  • リソースタイプ (複数可): 指定したリソースタイプでリソースに対する設定変更が記録されると、ルールの評価が開始されます。
  • リソース ID: 指定したリソースタイプおよびリソース ID でリソースに対する設定変更が記録されると、ルールによる評価が開始されます。

定期的に実行されるルールは特定の頻度で開始されます。使用可能な頻度は、1 時間、3 時間、6 時間、12 時間、または 24 時間です。定期的に実行されるルールの場合、ルールに公開されているすべてのリソースの現在の設定項目 (CI) に対する完全なスナップショットが使用されます。

Q: 評価とは何ですか?

ルールによる評価によって、特定時点でルールとリソースが一致しているかどうかが判断されます。これは、ルールをリソースの設定と比較して評価した結果です。AWS Config ルールは各評価を取得し、保存します。結果にはリソース、ルール、評価が実行された時間、コンプライアンス違反の原因となった設定項目 (CI) へのリンクが含まれます。

Q: コンプライアンスとはどういう意味ですか?

リソースは、そのリソースに適用されるすべてのルールに従っている場合は準拠しています。それ以外の場合は、非準拠です。同様に、あるルールによって評価したすべてのリソースがルールに従っている場合、そのルールはコンプライアンスを遵守していることになります。それ以外の場合は、非準拠です。ルールの権限が不足している場合などでは、リソースに対する評価が実行されず、データ不足のステータスとなる場合があります。このステータスはリソースまたはルールのコンプライアンス状況の判断材料から除外されます。

Q: AWS Config ルールのダッシュボードにはどのような情報が表示されますか?

AWS Config ルールのダッシュボードには AWS Config によって追跡されたリソースの概要と、リソースおよびルールごとの現在のコンプライアンス状況のサマリが表示されます。リソースごとにコンプライアンス状態を確認すると、そのリソースに適用されているルールの中に現在コンプライアンス違反があるかどうかが判断できます。ルールごとにコンプライアンス状態を確認すると、ルールが適用されているリソースの中に現在コンプライアンス違反があるかどうかが判断できます。このサマリビューを使用すると、リソースの AWS Config タイムラインをさらに詳しく調べて、どの設定パラメータが変更されたかを判断できます。ダッシュボードを使用すれば概要から開始してより詳細なビューに移動し、コンプライアンス状況の変化について、またどの変更がコンプライアンス違反の原因となったかについて完全な情報を取得できます。

コンフォーマンスパック

Q: AWS Config ルールとコンフォーマンスパックは、それぞれどのような場合に使用しますか?

各 AWS Config ルールは、1 つまたは複数のアカウントのリソース設定のコンプライアンス状態を評価するために使用できます。コンフォーマンスパックは、1 つの選択で組織全体にわたりデプロイできる 1 つのエンティティとして、修復操作とともにルールをパッケージ化するという別のメリットを提供します。コンフォーマンスパックは、複数アカウントを管理している場合に、大規模なコンプライアンス管理とレポーティングを簡素化することを意図したものです。コンフォーマンスパックは、パックレベルで集計されたコンプライアンスレポートと不変性を提供するように設計されています。これにより、コンフォーマンスパック内の管理された AWS Config ルールと修復ドキュメントが、組織の個々のメンバーアカウントによって変更または削除されるのを防ぐことができます。

Q: AWS Config と AWS Config ルールは AWS Security Hub にどのように関連していますか?

AWS Security Hub は、セキュリティおよびコンプライアンス体制の管理をサービスとして提供するセキュリティおよびコンプライアンスサービスです。AWS リソースの設定を評価するための主なメカニズムとして AWS Config と AWS Config ルールを使用します。AWS Config ルールは、リソースの設定を直接評価するためにも使用できます。AWS Config ルールは、AWS Control Tower や AWS Firewall Manager などの他の AWS のサービスでも使用されます。

Q: AWS Security Hub および AWS Config コンフォーマンスパックはどのような時に使用すればよいですか?

PCI DSS などのコンプライアンス標準が既に Security Hub に存在する場合、それを運用するための最も簡単な方法として、フルマネージド型の Security Hub サービスを挙げることができます。Security Hub の Amazon Detective との統合を通じて検出結果を調査できるほか、Security Hub の Amazon EventBridge との統合を使用して、自動または半自動の修正アクションを構築できます。ただし、セキュリティ、運用、およびコスト最適化チェックが含まれる場合がある独自のコンプライアンスまたはセキュリティ標準を組み合わせるには、AWS Config コンフォーマンスパックが最適です。AWS Config コンフォーマンスパックは、AWS Config ルールのグループと、関連する是正アクションを単一のエンティティにパッケージ化することによって、AWS Config ルールの管理をシンプル化します。このパッケージ化により、組織全体でのルールのデプロイと修正アクションが簡素化されます。また、コンプライアンスの概要をパッケージレベルで報告できるため、集約された報告も可能になります。AWS が提供する AWS Config コンフォーマンスパックのサンプルから始めて、必要に応じてカスタマイズできます。

Q: Security Hub と AWS Config の両方のコンフォーマンスパックは継続的なコンプライアンス監視をサポートしていますか?

はい、Security Hub と AWS Config の両方のコンフォーマンスパックは、AWS Config と AWS Config ルールへの依存を前提として、継続的なコンプライアンス監視をサポートしています。基盤となる AWS Config ルールは、定期的に、またはリソースの設定に対する変更を検知したときにトリガーできます。これにより、AWS リソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスを継続的に監査および評価できます。

Q: コンフォーマンスパックの使用を開始するにはどうすればよいですか?

CLI または AWS Config コンソールからサンプルテンプレートを使用してコンフォーマンスパックを作成するのが一番簡単です。サンプルテンプレートには、S3 Operational Best Practices、Amazon DynamoDB Operational Best Practices、および Operational Best Practices for PCI を含むものがあります。これらのテンプレートは YAML で記述されています。これらのテンプレートは、ドキュメントサイトからダウンロードし、任意のテキストエディタを使用してユーザーの環境に合わせて編集できます。パック内に以前に記述したカスタムの AWS Config ルールを追加することもできます。

Q: AWS Config のこの機能の使用には費用がかかりますか?

コンフォーマンスパックには階層化された料金モデルが適用されます。詳細については、AWS Config の料金ページをご参照ください。

マルチアカウント、マルチリージョンでのデータ集約

Q: マルチアカウント、マルチリージョンのデータ集約はどのような機能ですか?

AWS Config のデータ集約機能では、複数のアカウントやリージョンの AWS Config データを単一のアカウントやリージョンに集約できます。マルチアカウントのデータ集約は、中央の IT 管理者がエンタープライズ内にある複数の AWS アカウントのコンプライアンスをモニタリングするのに便利です。

Q: データ集約機能を使って複数アカウントの AWS Config Rules を集中的にプロビジョニングできますか?

データ集約機能を使って複数アカウントにルールをプロビジョニングすることはできません。これは純粋に、コンプライアンスの可視性を実現するレポート機能です。複数のアカウントやリージョンにルールをプロビジョニングする場合は、AWS CloudFormation StackSets を使用できます。詳細については、このブログリンクをご覧ください。

Q: 自分のアカウントでデータ集約を有効にするにはどうすればよいですか?

AWS Config および AWS Config Rules が自分のアカウントと集約対照のアカウントで有効化されると、アカウントにアグリゲータを作成してデータ集約を有効化できます。詳細はこちら

Q: アグリゲータとは何ですか?

アグリゲータは AWS Config のリソースタイプで、複数のアカウントやリージョンから AWS Config データを収集します。アグリゲータを使用して、複数のアカウントやリージョンについて AWS Config に記録されたリソース設定とコンプライアンスデータレコードを表示できます。

Q: 集計ビューにはどのような情報が表示されますか?

集計ビューには、組織全体でのルール違反合計数、違反リソース数の多いルールのトップ 5、ルール違反の多い AWS アカウントのトップ 5 が表示されます。これによりルールに違反しているリソースについての詳細、および、あるアカウントが違反しているルールのリストを見ることができます。

Q: AWS Organizations は利用していませんが、データ集約機能を使用できますか?

ファイルのアップロードまたは各アカウントの個別入力によって、AWS Config データの集約対象アカウントを指定できます。AWS Organization に属していないアカウントでは、アカウントそれぞれに対してアグリゲータアカウントを明示的に承認する必要があることに注意してください。詳細はこちらをご覧ください。

Q: アカウントは 1 つしか使用していないのですが、データ集約機能を使用する利点はありますか?

データ集約機能はマルチリージョンの集約にも役立ちます。そのため、この機能を使えば、複数リージョンにまたがるアカウントの AWS Config データを集約できます。

Q: マルチアカウント、マルチリージョンのデータ集約機能はどのリージョンで使用できますか?

マルチアカウント、マルチリージョンのデータ集約が可能なリージョンの詳細については、AWS Config 開発者ガイド: マルチアカウントマルチリージョンデータ集約をご覧ください。

Q: この機能がサポートされていないリージョンを含むアカウントがある場合、どうなりますか?

アグリゲータを作成するときには、データの集約対象となるリージョンを指定します。リストには、この機能が利用できるリージョンのみ表示されます。[all regions] を選択することもできます。この場合、その他のリージョンがデータの集約に対応すると、自動的にデータが集計されます。

サービスとリージョンのサポート

Q: AWS Config では、どの AWS リソースタイプがサポートされていますか?

サポートされているリソースタイプの完全なリストは、こちらのドキュメントを参照してください。

Q: AWS Config はどのリージョンで利用可能ですか?

AWS Config が利用可能な AWS リージョンの詳細については、AWS リージョン表をご覧ください。

リソース設定

Q: 設定項目とは何ですか?

設定項目 (CI) とは、特定時点でのリソースの設定です。CI は次の 5 つのセクションで構成されています。

  1. 異なるリソースタイプでも共通な基本情報 (Amazon リソース名、タグなど)、
  2. リソースに特有な設定データ (EC2 インスタンスタイプなど)、
  3. 他のリソースとの相関関係 (EC2::Volume vol-3434df43 などは EC2 instance i-3432ee3a に「アタッチされています」)、
  4. このステータスに関連する CloudTrail イベント ID (AWS リソースのみ)
  5. CI のバージョン、CI がキャプチャされた時間など、その CI についての情報が特定できるメタデータ。

設定項目の詳細

Q: カスタムの設定項目とは何ですか?

カスタムの設定項目 (CI) は、サードパーティーまたはカスタムのリソースのための CI です。オンプレミスのデータベース、アクティブディレクトリサーバー、GitHub のようなバージョン管理システム、Datadog のようなサードパーティーのモニタリングツールなどがその例です。

Q: AWS Config の関連性とは何ですか、またどのように使用するのですか?

AWS Config は変更を記録する際にリソース同士の関連性を考慮します。たとえば、新しい EC2 セキュリティグループが EC2 インスタンスに関連付けられている場合、AWS Config ではプライマリリソースとEC2 セキュリティグループの両方、および関連リソース (これらのリソースが変更された場合) の構成の更新を記録します。

Q: AWS Config では、リソースのこれまでの状態がすべて記録されますか?

AWS Config では、リソースの設定の変更を検出し、その変更によってもたらされた設定状態を記録します。リソースに対していくつかの設定変更が立て続けに行われた場合、AWS Config では、そのリソースへの変更全体の累積的影響を表す最新の設定のみが記録されます。このような状況では、AWS Config は設定項目の relatedEvents フィールドに最新の変更点のみをリストアップします。これにより、ユーザーやプログラムは、AWS Config が中間的な過渡状態を記録するのを待つことなく、インフラストラクチャの構成を変更し続けることができます。

Q: AWS Config で設定の変更を記録する頻度を選択するにはどうすればよいですか?

定期的に記録することで、環境内の変更を記録する頻度を決定できるため、頻繁に変更されるリソースから設定項目を減らすことができます。更新を継続的に受け取る代わりに、定期的な記録を使用して、ユースケースに合わせて 24 時間ごとに設定の変更を受け取ることもできます。 

Q: 継続的な記録の代わりに定期的な記録を使用すべきなのはどのような場合ですか? 

定期的に記録することで、リソース設定の更新を受信する頻度を決定できます。有効にすると、AWS Config はリソースの最新の設定が変更された場合、24 時間の期間の終了時にのみ配信します。これにより、設定データの頻度が減り、運用計画や監査などのユースケースでこのデータを収集するコストを予測しやすくなります。セキュリティとコンプライアンスのニーズにより、リソースを継続的に監視する必要がある場合は、継続的な記録を使用する必要があります。

Q: そのリソースでの API アクティビティによらない設定変更は AWS Config によって記録されますか?

はい。AWS Config では、まだ記録されていない変更がないかリソースの設定を定期的にスキャンし、そのような変更を記録します。このようなスキャンによって記録された CI のメッセージには、[relatedEvent] フィールドがありません。記録済みの状態とは異なる最新の状態のみが選択されています。

Q: AWS Config では EC2 インスタンス内のソフトウェアに対する設定変更は記録されますか?

はい。AWS Config では、AWS アカウント内の EC2 インスタンス内に加え、オンプレミス環境の仮想マシン (VM) やサーバー内のソフトウェアに対する設定変更を記録できます。AWS Config で記録される設定情報には、オペレーティングシステム更新、ネットワーク設定、インストール済みのアプリケーションがあります。AWS Config ルールを使用して、インスタンス、VM、およびサーバーがガイドラインに従っているかどうかを評価できます。AWS Config が提供する詳細までの可視性と連続的モニタリング機能によって、コンプライアンスを評価し、運用上の問題をトラブルシューティングできます。

Q: 定期的なルール評価の結果、以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は通知を送信し続けますか?

AWS Config は、コンプライアンス状況に変化があったときにのみ通知を送信します。以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は新しい通知を送信しません。コンプライアンス状況が「コンプライアンス遵守」に変化した場合、状況変化の通知がお客様に届きます。

Q: AWS Config ルールによって評価されるようリソースにフラグを付ける、またはリソースを評価から除外することはできますか?

はい。コンソールの AWS Config の「レコーダー設定」ページに移動し、[Exclude Resource Types (リソースタイプを除外)] オプションを選択し、必要な除外を指定することで、リソースを除外できます。あるいは、PutConfigurationRecorder API を利用してこの機能にアクセスすることもできます。この API は、そのリソースタイプの設定記録を無効にします。また、AWS Config ルールを構成するとき、指定されたリソースタイプ、または特定のタグが付いたリソースに対してルールが評価を実行するかどうかを指定できます。

料金

Q: AWS Config ではどのように課金されますか?

AWS Config では、アカウントの記録された設定項目の数、アクティブな AWS Config ルールの評価数、コンフォーマンスパックの評価数に基づいて課金されます。設定項目は、AWS アカウントのリソースの設定状態を記録したものです。AWS Config が設定項目を配信できる頻度には、継続的と定期的の 2 つがあります。継続的な記録により、変更が発生するたびに設定の変更が記録され、配信されます。定期的な記録により、変更が発生した場合にのみ、24 時間に 1 回設定データが配信されます。AWS Config ルール評価は、AWS アカウントのAWS Config ルールによるリソースのコンプライアンス状態の評価です。コンフォーマンスパック評価とは、コンフォーマンスパック内の AWS Config ルールによるリソースの評価です。詳細については、https://aws.amazon.com/config/pricing/をご参照ください。

Q: AWS Config ルールの料金に Lambda 関数の利用料は含まれますか?

お客様は AWS が提供する一連のマネージドルールから選択するか、Lambda 関数で独自のルールを作成できます。マネージドルールは AWS によって完全に管理され、ルールを実行するために追加の Lambda 利用料は発生しません。マネージドルールを有効にし、必要なパラメータを入力し、それぞれのアクティブな AWS Config ルールの単一月額料金を支払うことができます。カスタムルールを使用すると、使用中のアカウント内の Lambda 関数として適用され、そのすべてをお客様がコントロールできます。カスタム AWS Config ルールには、アクティブなルールに対する月額料金に加えて、通常の Lambda 無料利用枠* および関数適用料金が適用されます。

*AWS 無料利用枠は、AWS 中国 (北京) リージョンまたは AWS 中国 (寧夏) リージョンではご利用いただけません。

Q: カスタム AWS Config ルールのための Lambda 関数に変更を加えたいと考えています。推奨される方法とはどのようなものですか?

新しいルールを作成し、アクティブになるたびに料金が発生します。ルールに関連付けられた Lambda 関数の更新または置き換えが必要な場合は、ルールを削除して新しいルールを作成するのではなく、ルールを更新することをお勧めします。

パートナーソリューション

Q: AWS Config にはどのような AWS パートナーソリューションが利用できますか?

Splunk、ServiceNow、Evident.io、CloudCheckr、Redseal、RedHat CloudForms などの APN パートナーソリューションは、AWS Config のデータと完全に統合されたサービスを提供しています。2nd Watch や Cloudnexa といったマネージドサービスプロバイダーも AWS Config との統合を発表しました。さらに、AWS Config ルールを使用して、CloudHealth Technologies、AlertLogic、および TrendMicro といったパートナーが利用可能な統合サービスを提供しています。これらのソリューションでは変更管理、セキュリティ分析などが利用でき、AWS リソースの設定を視覚化、モニタリング、管理するのに役立ちます。

詳細はこちらをご覧ください。

構築を始めましょう。
AWS Config の使用を開始する
ご不明な点がおありですか?
お問い合わせ