はじめに
二三週間前に、こんな記事【How to Centrally Manage AWS Config Rules across Multiple AWS Accounts】を見ました。この記事に一番説明したいのはもともと1アカウントずつ、AWS Congfig Ruleとカスタム用のLambdaが設定されていますが、AssumeRoleを利用して、カスタムルール用のLambdaを1つの管理用のアカウントに集約できるということです。私も記事を読みながら、下記の図に示す通りに検証してみて、2つの記事をQiitaに投稿しました。
- [AWSセキュリティ担当者必見] Config Rules 、Lambda、SNSによる中央集権型の管理統制について
- [AWSセキュリティ担当者必見] Config Rules 、Lambda、SNSによる中央集権型の管理統制について----<データ編>
そして、先週自分がやったことを所属している部署向けにLTをやりました......が、自分のサービスへの理解不足や下手な説明で、全然伝わらなかったので、非常に悔しかったです。AWS Configは先日開催されたSecurity Jaws二回目のイベントの中にも「継続的な監査・評価」に活用されるサービスとして取り上げられましたので、是非社内のセキュリティ監査に活用したいと思っていますので、AWS Configの基礎部分をもう少し調べました。
今回は自分なりに調べたAWS Configの基礎部分の情報を皆さんに共有します。
基本概念
AWS Config
AWSの標準回答
AWS Config とは、セキュリティとガバナンスを可能にする構成変更の通知、構成履歴、AWS リソースのインベントリーをお客様へ提供する完全マネージド型のサービスです。
AWS Config から、既存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポートが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。
これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。
自分なりの理解:
AWS ConfigはAWSリソースの構成情報を自動的に収集してくれるサービスです。
監査、セキュリティ性の維持、トラブルシューティングなどに使えます。
AWS Configを人間に例えると、情報収集者です。
Config Rules
AWSの標準回答
Config Rule はリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更と対照して評価されます。
自分なりの理解
Config Ruleは予めお客様によって決められているルール(ポリシー)に基いて、
収集された対象リソースの情報からポリシーに沿って利用されているかを評価できるConfigの機能です。
Config Ruleを人間に例えると、監査人です。
※厳密に言うと、"監査人"はConfig Ruleに設定されているコンピュートリソースです。
動作イメージ
AWS Config + managed rule/custom rule(Lambda)
managed ruleも裏にはLambda(的なもの?)で動いていると思います。
利用可能なリージョン
2016/7/22時点
AWS Configは全リージョンで利用可能ですが、Config Rulesは米国東部 (バージニア)、米国西部 (オレゴン)、欧州 (アイルランド)、欧州 (フランクフルト)、およびアジアパシフィック (東京) 、計5つのリージョンで利用可能です。
AWS Configにて取得可能な情報(リソースタイプ)
2016/7/22時点
AWSサービス | リソースタイプ |
---|---|
ACM | Certificate |
RDS | DBInstance DBSecurityGroup DBSnapshot DBSubnetGroup EventSubscription |
IAM | Group Policy Role User |
CloudTrail | Trail |
EC2 | CustomGateway EIP Host Instance InternetGateway NetworkAcl NetworkInterface RouteTable SecurityGroup Subnet VPC VPNConnection VPNGateway Volume |
赤字で記載されている情報は米国東部 (バージニア北部)のみ取得可能
情報取得の実行タイミング
- 評価対象の構成が変更された時に
- 評価結果が反映されるまで、何分か時間がかかる
- 定期的に
料金
AWS Config
- 1 設定項目につき、0.003 USD (AWS GovCloud除き)
- 設定項目: AWS リソースの特定の時点での設定詳細
Config Rules
- アクティブなルールにつき、2 USD/月
- 月一度利用されていれば、 アクティブと見なす
- 評価が月20,000回以上の場合: 追加料金 → 0.10 USD/1,000 回
その他
AWS Configに利用されているSNS、S3、Lambda(カスタムルールに利用)の費用
最後
今回はAWS Configの基礎部分について、自分なり調べた情報を皆さんに共有しました。
もし何か不適切なところ、もしくは共有できる情報がありましたら、是非教えて下さい。