AWS Configの技術紹介と導入例
AWS Configとは
AWS Configは、AWSリソースの設定を評価、監査、審査できるサービスです。リソースの設定履歴を継続的にモニタリングおよび記録し、セキュリティやガバナンスの強化を支援してくれます。
AWS Configの特徴
AWSリソースの設定履歴
AWSリソースの変更の詳細を記録し、設定履歴を確認できます。AWSマネジメントコンソール、API、CLIを使用して過去の任意の時点のリソースの設定に関する詳細を取得できます。
ソフトウェアの設定履歴
Amazon EC2インスタンスやオンプレミスで稼働しているサーバーで、実行されるソフトウェアの設定変更を記録できます。また、他のクラウドプロバイダーによって提供される環境におけるサーバーや、下層マシンで実行されるソフトウェアの設定変更も記録できます。
リソース間の関係の追跡
アカウント内のAWSリソース関係を検出、マッピング、追跡します。つまり、2つのリソース間が関連付けされた場合、AWS Configが両方の設定の更新を記録します。
設定とカスタマイズ可能なルール
AWS Configでは、あらかじめAWSリソース等で実行されるソフトウェア、オンプレミスで稼働しているサーバーで実行されるソフトウェアのプロビジョニングや、設定を評価するためのルールが用意されています。ユーザーは、このルールをカスタマイズして、AWSリソースの設定や設定変更を評価することができます。
コンフォーマンスパック
コンフォーマンスパックは、AWS Organizationsと統合されています。これにより、AWS Configルールと修復アクションのコレクションをパッケージ化して、組織全体で単一のエンティティとして一緒にデプロイできます。コンフォーマンスパックは、AWS Configルールおよび、修復アクションのリストを含むYAMLテンプレートを作成することで作成できます。
マルチアカウント、マルチリージョンでのデータ集約
中央での監査とガバナンスを可能にします。この機能では、エンタープライズ全体にわたるAWS Configルールコンプライアンス状況を見ることができ、AWS Organizationsをすばやくアカウントに追加します。
拡張性
パブリックAPIを使用して、サードパーティーリソースの構成を拡張し、AWS Configに公開できます。AWS Configでは、AWS ConfigコンソールとAPIを使用して、サードパーティーリソースをAWSリソースと同様に、リソースインベントリや設定履歴の表示と監視ができます。また、AWS Configルールまたはコンフォーマンスパックを基に、サードパーティーリソースを評価することもできます。
設定のスナップショット
すべてのリソースとその設定スナップショットを取得できます。このスナップショットは、AWS CLIまたはAPIによってオンデマンドで生成され、指定したAmazon S3バケットに送信されます。
クラウドガバナンスダッシュボード
視覚的ダッシュボードを利用して、コンプライアンスに違反するリソースの特定と、適切なアクションの実行をすることができます。
AWS Configの利点
継続的モニタリング
AWSリソースの設定変更を継続的にモニタリングして記録できます。
継続的評価
AWSリソースの設定と企業ポリシーおよびガイドラインとの全体的なコンプライアンスが継続的に監査及び評価できます。
変更管理
リソース間の関連性を追跡し、変更する前にリソースの依存関係を確認できます。リソースの設定の変更に伴う他のリソースへの影響を事前に評価できるため、変更に関連した問題による影響を最小限に押さえることができます。
運用上のトラブルシューティングが簡単
AWSリソースの設定変更における包括的な履歴を取得できるため、簡単に運用上の問題に関するトラブルシューティングを行うことができます。
企業全体でのコンプライアンスのモニタリング
マルチアカウント、マルチリージョンのデータ集約により、企業全体でのコンプライアンスの状況を表示し、コンプライアンスの保たれていないアカウントを特定できます。
サードパーティーリソースのサポート
AWSとサードパーティーのリソースの両方の設定監査と、コンプライアンス検証を行うことができます。
AWS Configの設定ウィザード
AWSマネジメントコンソールからAWS Configを開き、以下の手順で進めていきます。
Step1 Setting
1. Resource types to record
AWS Configで設定を記録するリソースを選択します。
2. Amazon S3 bucket
設定履歴と設定スナップショットを保存するためのS3バケットを作成します。
3. Amazon SNS topic
Amazon SNSを使って、設定の更新及び以前の状態からの変更についての通知を行うことができます。
4. AWS Config role
AWS Configが設定情報を記録するために必要なIAM Roleを作成します。
AWS Config rules
社内ポリシーやガイドラインに沿った設定が行われているか評価することができます。
Review
確認画面です。
以上のようにAWS Configは、少ない設定で利用可能です。
AWS Configの利用料金
AWS Configの使用には、設定項目、AWS Configルール、コンフォーマンスパック、維持について料金が発生します。
設定項目の料金
記録される設定項目に基づいて、1回の前払い料金が発生します。東京リージョンでは、AWSアカウントに記録された設定項目あたり0.003USD(2020/4/14時点)です。
AWS Configルールの料金
記録されたAWS Configルールの評価数に基づいて課金されます。AWS Configルールに対するコンプライアンスに対して、リソースが評価されるごとにルール評価が記録されます。
コンフォーマンスパックの料金
AWSリージョンごとのAWSアカウントにおけるコンフォーマンスパック評価あたりの料金は、コンフォーマンスパック評価の件数に応じて決定されます。コンフォーマンスパック評価とは、コンフォーマンスパック内でAWS Configルールを使ってリソースを評価することです。
維持のコスト
インスタンスやIAMユーザーの追加時の前払い料金とS3、SNSの利用料です。
AWS Configの導入事例
Prezi
ブタペストとサンフランシスコにオフィスを構える、プレゼンツールを提供する2009年に設立したソフトウェア会社です。Preziは、セキュリティとガバナンスにAWS Configを採用しています。
iZettle
2010年に設立されたスウェーデンの金融テクノロジー企業です。iZettleは、同社が提供する金融商品に関して、支払いソリューションを構築し運用するためにAWSサービスを活用しています。その中で、AWS Configは、リソースの完全なインベントリを提供しています。
FanDuel
2009年に「ファンタジー・スポーツ」というシミュレーションゲームのサービスを開始した英国のスタートアップです。FanDuelは、完全マネージド型のリソースインベントリサービスを利用しています。
まとめ
この記事では、AWS Configの特徴や利点、利用方法、導入例に関して取り上げました。AWS Configは、AWSリソースの設定を継続的に記録して、ユーザーがカスタマイズしたルールを基に、その設定の評価や監査、審査ができるサービスです。