AWS Configとは?
- AWSリソースの構成を記録・評価するサービス
- 「どのリソースが、いつ、どのように設定されたか」を追跡できる
- コンプライアンスや監査で利用されることが多い
主要な機能
- 構成履歴の記録
- AWSアカウント内のリソース(EC2, S3, IAM, VPC, RDSなど)の設定状態をスナップショットとして記録
- 変更があると自動でイベントが発生し、新しい構成が保存される
- 保存先は S3(長期保存)、SNS通知も可能
- リソース間の関係把握
- どのリソースがどのリソースと関連しているか(例: EC2 ↔ VPC ↔ SG)を可視化できる
- Configルールによる評価
- リソースがベストプラクティスに準拠しているかチェック
- 例:S3バケットに必ず暗号化が有効か?
- 例:EC2インスタンスに特定のタグがついているか?
- ルールの種類
- AWSマネージドルール(よくあるセキュリティ・コンプライアンスチェックを提供)
- カスタムルール(Lambdaで独自ルールを実装)
- リソースがベストプラクティスに準拠しているかチェック
コンプライアンス評価
- 各リソースがルールに「準拠 (COMPLIANT)」しているか「非準拠 (NON_COMPLIANT)」かを判定
- ダッシュボードで確認でき、監査証跡に使える
ポイント
- CloudTrailとの違い
- AWS Config = リソースの「状態」を記録
- CloudTrail = APIコールの「操作履歴」を記録
- 例:「誰がEC2を停止したか?」→ CloudTrail
- 例:「その時EC2にどんなセキュリティグループがついていたか?」→ AWS Config
- コンプライアンス自動チェック
- S3バケットの暗号化必須、IAMポリシー制限、セキュリティグループのルール確認などを自動で評価できる
- Security HubやOrganizationsと連携し、セキュリティ管理の中心にもなる
- マルチリージョン・マルチアカウント対応
- AWS Organizationsと統合し、複数アカウントの設定を集約可能
- 集約先で全体的にコンプライアンス状況を監視できる
ユースケース
- 監査対応:S3バケットが常に暗号化されていることを確認したい
- AWS Configルールでチェック、非準拠なら通知
- セキュリティ要件:EC2に特定のタグがついていないと違反としたい
- カスタムConfigルールを作成
- 過去状態の確認:EC2が先週どのセキュリティグループを持っていたか確認したい
- AWS Configの構成履歴から確認