今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。
動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。
内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。
対象者
・AWSをこれからはじめたい方
・AWSをもっと活用したい方
・AWS Configの概要や設定イメージを把握したい方
AWS Configとは
AWSのマネージド型の"構成管理サービス"となります。
ご利用のAWSリソースのインベントリ、構成履歴、構成変更通知の機能を備えています。
AWS Configを有効にするとアカウント内でサポートされているAWSリソースが検出され、リソースごとに構成アイテムが生成され、構成情報や履歴を可視化する事ができます。変更された内容を追うだけでなく、AWS Configルールを設定することにより、例えばAWSアカウント内で指定したルールに従っていない構成変更が行われた際に、管理者側に通知を行うような設定も可能です。
管理者視点だと、可視化された情報を元に以下用途でサービスを活用する事ができます。
- コンプライアンス監査
- セキュリティ分析
- リソース変更の追跡
- トラブルシューティング
参考: AWS Config
https://aws.amazon.com/jp/config/
参考: AWS Config の仕組み
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/how-does-config-work.html
AWS Config の料金
監視項目分だけ従量課金となります。
・リージョン単位で記録される設定項目ごと
・リージョン単位でのルール評価ごと
・コンフォーマンスパックの評価数 (当動画では割愛)
一部リージョンによっては料金が多少異なりますので詳細は以下を詳細ください。
参照:AWS Config の料金
https://aws.amazon.com/jp/config/pricing/
AWS Config の注意事項
注意点として以下3点を紹介します。
- すべてのAWSリソースがサポートされている訳ではない
AWS ConfigでサポートされているAWSリソースに関する情報は以下を参照ください。
参照:AWS Config でサポートされているリソースタイプとリソース関係
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-reference.html#supported-resources - コンプライアンス違反アクションそのものを防止するものではない
AWSリソース変更履歴を記録し、指定したルールに反する変更があった際には通知する事が可能ですが、コンプライアンス違反のアクションを防止するものではなくその後の対処や予防策は管理者側の責任で検討実施する必要があります。参考までにAWS Lambda やAWS Systems Manager オートメーションと連携させる事によって修復までを自動化することは可能です。
参考:AWS Config ルールによる非準拠の AWS リソースの修復
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html
- AWS Config ルールに反している状況が継続しても通知され続ける訳ではない
変更があった際に通知されるものという考慮で運用を検討する必要があります
参考: AWS Configのよくある質問
Q: 定期的なルール評価の結果、以前にコンプライアンス違反であったリソースが依然としてコンプライアンス違反である場合、AWS Config は通知を送信し続けますか?
https://aws.amazon.com/jp/config/faq/
AWS Configのセットアップ実施のデモ(動画内 01:53〜)
AWS Config有効化の設定を行い、実際に構成変更が行われたS3bucketの変更履歴を確認するデモを動画内で紹介しています。
管理者視点で、ざっくりとAWS Configの設定や運用イメージを掴んで頂ける内容となっておりますので、もし興味があれば動画を参照ください。
まとめ
AWS Configは監視対象側の設定や初期費用なしのわずか数クリックで対象AWSリソースの設定を簡単に追跡できるようになり、リソースの設定を継続的に評価することで AWS におけるセキュリティおよびガバナンス体制の向上に役立てる事ができます。
管理者としてAWSアカウントを作成した際には、初期設定項目として有効化を検討してみてください。