2020年7月29日 / 最終更新日 : 2020年9月29日 AcroEditUser AWS

AWS Configとは?ーAWS CloudFormationー

はじめに

AWS Configとは、AWSアカウントにあるAWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過とともに設定と関係がどのように変わるかを確認できます。AWS リソースとは、AWSで使用できるエンティティであり、Amazon Elastic Computer Cloud(EC2)インスタンス、Amazon Elastic Block Store(EBS)ボリューム、セキュリティグループ、Amazon Virtual Private Cloud(VPC)などを指します。AWS Configで、サポートされているAWSリソースの詳細なリストについてはAWSの「サポートされているリソースタイプ」を参照してください。

AWS Configでは、以下のことができます。

・AWSリソースの設定が最適な設定であるかどうかを評価する。

・AWSアカウントに関連付けられているサポート対象リソースの設定を取得する。

・アカウント内にある1つ以上のリソースの設定を取得する。

・1つ以上のリソースの設定履歴を取得する。

・リソースが作成、変更、または削除されるたびに通知を受け取る。

・リソース間の関係を表示する(特定のセキュリティグループを使用するすべてのリソースを確認する場合など)。

AWS Configを使用する方法

通常、AWSでアプリケーションの実行時に使用するAWSリソースは一括して作成し管理する必要があります。アプリケーションの需要が増えるにしたがって、AWSリソースを追跡する作業も増大します。AWS Configは、以下の目的でアプリケーションのリソースを監視します。

リソースの管理

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。AWS Config では、各リソースに対する呼び出しをポーリングして、リソースが作成、変更、削除されるたびに通知が送信されるため、これらの変更をモニタリングする必要がありません。 AWS Config のルールを使用して、AWS リソースの設定を評価できます。AWS Config でルールの条件に違反しているリソースが検出されると、AWS Config によってそのリソースに非準拠のフラグが付けられ、通知が送信されます。また、AWS Config はリソースの作成、変更、または削除を継続的に評価します。

監査とコンプライアンス

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報はAWS Configから提供されます。

設定変更の管理とトラブルシューティング

複数の相互に依存する AWS リソースを使用している場合、1 つのリソースの設定変更が他の関連リソースに予期しない影響を及ぼすことがあります。AWS Config では、リソースを変更する前に他のリソースとの関連性を確認し、変更の影響を判断できます。 また、AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

セキュリティ分析

セキュリティの潜在的な脆弱性を分析するには、ユーザーに付与されている AWS Identity and Access Management (IAM) アクセス許可や、リソースへのアクセスを制御する Amazon EC2 セキュリティグループのルールなど、AWS リソースの設定に関する詳細な履歴情報が必要です。 AWS Config で記録していた期間内であれば、AWS Config を使用して、IAM のユーザー、グループ、またはロールに割り当てられた IAM ポリシーを確認できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。たとえば、ユーザー John Doe が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを確認できます。 AWS Config では、特定の時間に開いていたポートのルールなど、EC2 セキュリティグループの設定を確認することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。

モニタリング

他のAWSサービスを利用して、AWS Configのリソースをモニタリングすることができる。例えば、Amazon SQSやAmazon CloudWatch Eventsを利用することで、AWS リソースが作成、変更、削除された際に通知を受け取ることが可能となります。

AWS CloudFormationとは

AWS CloudFormationは、Amazon Web Service リソースのモデル化およびセットアップに役立つサービスです。リソース管理に割く時間を減らし、AWSで実行するアプリケーションにさらに注力できるようになります。使用するすべてのAWSリソースを記述するテンプレートを作成すれば、AWS CloudFormationが代わりにこれらのリソースのプロビジョニングや設定を受け持ちます。AWS リソースを個別に作成、設計して、それぞれの依存関係を考える必要はありません。AWS CloudFormation がすべてを処理してくれます。

さいごに

今回は、AWS Configについてご紹介をさせていただきました。お読みいただきありがとうございます。

カテゴリー
AWSCloudFormationConfig

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

AWS

前の記事

Amazon Redshiftの料金についてご紹介!
2020年7月28日
AWS

次の記事

AWSではどのデータベースを利用するべき?DynamoDBやRDSを比較して紹介
2020年7月29日