Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
0
Help us understand the problem. What are the problem?
@toma_shohei

【簡単に変更履歴を管理】AWS Config導入事例5選【導入事例から学ぶ】

以前お伝えした運用改善系のサービスの一つAWS configで何ができるのかを調べてみました。
AWS運用改善サービスランキング【AWS Management Governance】

はじめに

AWSを運用していると
「この設定、いつ誰が何のために入れたんだろう」
という悩みを持ったことはないでしょうか?
私はインフラエンジニアを10年近く経験していますが、結構ありますね。
※細かい権限を設定されているが、謎にAdministrator権限が追加されているIAMなど。。

AWS Configはこの悩みを解決してくれる機能を持っていて、導入も簡単に行えます。
(「何のために」は推測するしかないですが、、)
それだけでなく、色々な活用方法があったのでそれを紹介していきます。

AWS Config 導入

導入手順

下記のサーバーワークスの動画を見ると分かりやすいと思います。
ハンズオン形式で設定項目をみることができます。
導入は簡単ですね。

【はじめてのAWS #09】 AWS Config を設定してみよう

AWS Configの設定

下記4つの設定項目があります。
必須の設定はリソースタイプ指定とS3です。

image.png

AWS Configの料金

従量課金のため、使ってみないとどの程度の料金になるか分かりません。

image.png

公式ページ:AWS Config の料金

Config Ruleの課金体系の理解は下記の記事を見ると分かりやすいかと思います。
[Config Rulesが激安になるのでみんな使ったほうが良いRuleを紹介します!](https://dev.classmethod.jp/articles/recommend-config-rules-for-all-user/)

AWS Config導入事例

Preziのケーススタディ(2016年)

リソース構成の変更追跡と変更管理のルールに使用した事例です。
image.png

FanDuelケーススタディ(2014年)

AWSのマネージドサービスにAWS Configを利用した事例です。
マネージドサービスでも使えるんですね。

image.png

調べてみたらマネージドサービスでもかなり使えるようになっています。
参考:サポートされているリソースタイプ

100を超えるAWSアカウント運用におけるガードレール構築事例

これまでのセキュリティはゲート(チェックリストなどで厳しく管理)という考え方でした。
アジリティを維持してガバナンスコントロールを実現するために新しくガードレールという考え方が生まれています。
AWS Configを利用することでルール外の動作を自動検知する運用がガードレールになります。

image.png

隠れて守らないこともできるゲートより、ガードレールの方が理想に見えます。

セキュリティで加速するクラウドジャーニー

事例ではないですが、一般的なCloudConfigを使う例となります。
AWS Configは発見的コントロールに分類されたセキュリティ対策製品になります。

image.png

AWSセキュリティ導入パック(CloudShift)

こちらも事例ではないですが、AWSのセキュリティ対策をパッケージ化したサービスなので、
参考になると思います。
AWS Configは設定変更履歴管理とルール準拠状況確認の役割をはたしています。

image.png

さいごに

事例をみても変更履歴管理と想定外設定の発見(Config Rule)という2つの役割を果たすサービスであることが分かりました。
ルールをどうするかの検討はありますが、導入が簡単なため、まずは有効化してみるのはありかなと思います。
最終的にはガードレールの考え方を適用していきたいと思います。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
0
Help us understand the problem. What are the problem?