AWS Config

AWS Configはリソースの変更をキャプチャし、Configでサポートされているリソースに対する変更はすべて記録され、変更内容と他の有用なメタデータが記録されるため、構成アイテム（CI）として知られるファイル内に保持されます。このサービスはリージョン固有です。

構成アイテムまたはCIとして知られるものは、AWS Configの重要なコンポーネントです。これは、サポートされているリソースの瞬間のスナップショットビューとして、構成情報、関係情報、およびその他のメタデータを保持するJSONファイルで構成されています。AWS Configがリソースのために記録できるすべての情報はCI内にキャプチャされます。サポートされているリソースの構成に変更が加えられるたびにCIが作成されます。影響を受けたリソースの詳細だけでなく、変更がそれらのリソースに影響を与えなかったことを確認するために、AWS Configは直接関連するリソースに対してもCIを記録します。

• メタデータ：構成アイテム自体に関する詳細が含まれています。CIを一意に識別するバージョンIDと構成IDが含まれます。他の情報には、同じリソースに対してすでに記録された他のCIと比較するためのMD5ハッシュが含まれることがあります。

• 属性：実際のリソースに対する一般的な属性情報が含まれます。このセクションでは、一意のリソースIDやリソースに関連付けられた任意のキー値タグが含まれます。リソースタイプもリストされます。たとえば、これがEC2インスタンスのCIである場合、リソースタイプには、そのEC2インスタンスのネットワークインターフェースや弾力的IPアドレスなどがリストされる可能性があります。

• 関係：リソースが持つ関連する関係に関する情報が含まれます。このセクションでは、このリソースが他のリソースとどのような関係を持っているかが明確に示されます。たとえば、CIがEC2インスタンスのものである場合、関係セクションには、そのEC2インスタンスが存在するVPCへの接続と、そのEC2インスタンスが存在するサブネットへの接続が表示される可能性があります。

• 現在の構成：これは、AWS CLIによって実行されるdescribeまたはlist API呼び出しを行った場合に生成される情報と同じ情報が表示されます。AWS Configは同じ情報を取得するために同じAPI呼び出しを使用します。

• 関連イベント：これはAWS CloudTrailに関連します。これには、このCIの作成をトリガーとした変更に関連するAWS CloudTrailイベントIDが表示されます。リソースに対して行われた変更ごとに新しいCIが作成されます。その結果、異なるCloudTrailイベントIDが作成されます。

構成履歴：構成アイテムにより、リソースの構成履歴を取得することが可能です。構成履歴は6時間ごとに提供され、特定のリソースタイプのすべてのCIが含まれます。

構成ストリーム：構成アイテムはSNSトピックに送信され、データの分析を可能にします。

構成スナップショット：構成アイテムは、すべてのサポートされているリソースの瞬間スナップショットを作成するために使用されます。

S3は構成履歴ファイルとデータの構成スナップショットを1つのバケット内に保存するために使用されます。これは構成レコーダー内で定義されます。複数のAWSアカウントを持っている場合、主要アカウントのS3バケットに構成履歴ファイルを集約することができます。ただし、このサービスプリンシパルであるconfig.amazonaws.comと、主要アカウント内のS3バケットへの書き込みアクセスを許可する必要があります。

機能

• たとえば、セキュリティグループやバケットアクセス制御リストに変更を加えると、AWS Configによってキャプチャされるイベントが発生します

• すべてをS3バケットに保存

• セットアップに応じて、変更があるたびにLambda関数をトリガーするか、定期的にAWS Config設定を確認するLambda関数をスケジュールすることができます

• LambdaがConfigにフィードバック

• ルールが違反された場合、ConfigがSNSを起動します

Config Rules

Configルールは、リソース全体で特定のコンプライアンスチェック およびコントロールを強制するのに役立つ方法であり、各リソースタイプに対して理想的な展開仕様を採用することを可能にします。各ルールは、リソースを評価し、ルールとのコンプライアンス結果を決定するためのいくつかの単純なロジックを実行する基本的にはLambda関数です。サポートされているリソースのいずれかに変更が加えられるたびに、AWS Configは設定されている構成ルールに対するコンプライアンスをチェックします。 AWSには、使用可能なセキュリティ関連の事前定義ルールがいくつかあり、すぐに使用できます。たとえば、Rds-storage-encrypted。これは、RDSデータベースインスタンスでストレージ暗号化が有効になっているかどうかを確認します。Encrypted-volumes。これは、アタッチされた状態のEBSボリュームが暗号化されているかどうかを確認します。

• AWS管理ルール：多くのベストプラクティスをカバーする事前定義ルールのセットなので、独自のルールを設定する前にこれらのルールを最初に参照する価値があります。ルールがすでに存在する可能性があるためです。

• カスタムルール：特定のカスタム構成をチェックするために独自のルールを作成できます。

リージョンごとに50の構成ルールの制限があり、増加が必要になる前にAWSに連絡する必要があります。 非準拠の結果は削除されません。