Config は、AWSリソースの構成を継続的に評価・記録・監査するサービスです。
各リソースの設定内容は Configuration Item(構成アイテム) として記録され、変更が発生すると Recorder(設定レコーダー) によって自動的に変更検出が行われます。その履歴は Configuration History(構成履歴) として保持され、特定時点の全体構成は Configuration Snapshot(構成スナップショット) として取得できます。
構成の評価には Config Rule(構成ルール) を使用し、AWSが提供する Managed Rule(マネージドルール) や、独自の Custom Rule(カスタムルール) によって、リソースの設定が組織ポリシーやセキュリティ基準に適合しているかを判定します。この評価結果は Compliance(準拠性) として可視化され、非準拠が検出された場合には Remediation(修復アクション) を実行して、SSM Automation などと連携した自動修復を行うことができます。
複数アカウントやリージョンにまたがる環境では、Aggregator(アグリゲーター) によって組織全体の構成情報やコンプライアンス状況を統合し、Conformance Packs(コンフォーマンスパック)を利用することで、複数の構成ルールを一括管理してポリシーの標準化を実現します。
構成データや評価結果は Delivery Channel(配信チャネル) を通じて S3 や SNS に出力でき、長期的な監査証跡やコンプライアンスレポートとして活用できます。
Config は構成変更の追跡・準拠性評価・自動修復を一元的に実施し、組織横断のコンプライアンス可視化とセキュリティ監査の自動化を実現する強力なサービスです。
重要用語
ユースケース
- リスト1
- リスト2
- リスト3
ベストプラクティス
- リスト1
- リスト2
- リスト3
高可用性・冗長化
- リスト1
- リスト2
- リスト3
セキュリティ
- リスト1
- リスト2
- リスト3
運用・監視
- リスト1
- リスト2
- リスト3
デフォルトのリミット値
| リミット事項 | 上限数 |
|---|---|
| 項目1 | 上限1 |
| 項目2 | 上限2 |
| 項目3 | 上限3 |
| 項目4 | 上限4 |
| 項目5 | 上限5 |
AWS CLIのサンプルコード
vpc を作成
#include <stdio.h>
void main(void) {
int i;
for (i=0; i<10; i++)
printf("%d\n", i);
vpc を作成
aaaaaaaaaaaaa
bbbbbbbbbbbbb
cccccccccccccTerraformのサンプルコード
vpc を作成
bbbbbbbbbbbbbbbbbbbbbbb
ddddddddddddddddddddddd
vpc を作成
xxxxxxxxxxxxxxxxxxxxxxx
yyyyyyyyyyyyyyyyyyyyyy課金モデル
| 項目 | 内容 |
|---|---|
| 項目1 | 内容1 |
| 項目2 | 内容2 |
| 項目3 | 内容3 |
| 項目4 | 内容4 |
| 項目5 | 内容5 |