以前お伝えした運用改善系のサービスの一つAWS configで何ができるのかを調べてみました。
AWS運用改善サービスランキング【AWS Management Governance】
はじめに
AWSを運用していると
「この設定、いつ誰が何のために入れたんだろう」
という悩みを持ったことはないでしょうか?
私はインフラエンジニアを10年近く経験していますが、結構ありますね。
※細かい権限を設定されているが、謎にAdministrator権限が追加されているIAMなど。。
AWS Configはこの悩みを解決してくれる機能を持っていて、導入も簡単に行えます。
(「何のために」は推測するしかないですが、、)
それだけでなく、色々な活用方法があったのでそれを紹介していきます。
AWS Config 導入
導入手順
下記のサーバーワークスの動画を見ると分かりやすいと思います。
ハンズオン形式で設定項目をみることができます。
導入は簡単ですね。
【はじめてのAWS #09】 AWS Config を設定してみよう
AWS Configの設定
下記4つの設定項目があります。
必須の設定はリソースタイプ指定とS3です。
AWS Configの料金
従量課金のため、使ってみないとどの程度の料金になるか分かりません。
Config Ruleの課金体系の理解は下記の記事を見ると分かりやすいかと思います。
[Config Rulesが激安になるのでみんな使ったほうが良いRuleを紹介します!](https://dev.classmethod.jp/articles/recommend-config-rules-for-all-user/)
AWS Config導入事例
Preziのケーススタディ(2016年)
リソース構成の変更追跡と変更管理のルールに使用した事例です。
FanDuelケーススタディ(2014年)
AWSのマネージドサービスにAWS Configを利用した事例です。
マネージドサービスでも使えるんですね。
調べてみたらマネージドサービスでもかなり使えるようになっています。
参考:サポートされているリソースタイプ
100を超えるAWSアカウント運用におけるガードレール構築事例
これまでのセキュリティはゲート(チェックリストなどで厳しく管理)という考え方でした。
アジリティを維持してガバナンスコントロールを実現するために新しくガードレールという考え方が生まれています。
AWS Configを利用することでルール外の動作を自動検知する運用がガードレールになります。
隠れて守らないこともできるゲートより、ガードレールの方が理想に見えます。
セキュリティで加速するクラウドジャーニー
事例ではないですが、一般的なCloudConfigを使う例となります。
AWS Configは発見的コントロールに分類されたセキュリティ対策製品になります。
AWSセキュリティ導入パック(CloudShift)
こちらも事例ではないですが、AWSのセキュリティ対策をパッケージ化したサービスなので、
参考になると思います。
AWS Configは設定変更履歴管理とルール準拠状況確認の役割をはたしています。
さいごに
事例をみても変更履歴管理と想定外設定の発見(Config Rule)という2つの役割を果たすサービスであることが分かりました。
ルールをどうするかの検討はありますが、導入が簡単なため、まずは有効化してみるのはありかなと思います。
最終的にはガードレールの考え方を適用していきたいと思います。