【VPC外リージョンサービス】
Config は、AWSリソースの構成を継続的に評価・記録・監査するサービスです。
各リソースの設定内容は Configuration Item(構成アイテム) として記録され、変更が発生すると Recorder(設定レコーダー) によって自動的に変更検出が行われます。その履歴は Configuration History(構成履歴) として保持され、特定時点の全体構成は Configuration Snapshot(構成スナップショット) として取得できます。
構成の評価には Config Rule(構成ルール) を使用し、AWSが提供する Managed Rule(マネージドルール) や、独自の Custom Rule(カスタムルール) によって、リソースの設定が組織ポリシーやセキュリティ基準に適合しているかを判定します。この評価結果は Compliance(準拠性) として可視化され、非準拠が検出された場合には Remediation(修復アクション) を実行して、SSM Automation などと連携した自動修復を行うことができます。
複数アカウントやリージョンにまたがる環境では、Aggregator(アグリゲーター) によって組織全体の構成情報やコンプライアンス状況を統合し、Conformance Packs(コンフォーマンスパック)を利用することで、複数の構成ルールを一括管理してポリシーの標準化を実現します。
構成データや評価結果は Delivery Channel(配信チャネル) を通じて S3 や SNS に出力でき、長期的な監査証跡やコンプライアンスレポートとして活用できます。
Config は構成変更の追跡・準拠性評価・自動修復を一元的に実施し、組織横断のコンプライアンス可視化とセキュリティ監査の自動化を実現する強力なサービスです。
重要用語
ユースケース
| リソース設定変更の履歴管理 | S3バケットやセキュリティグループなどの設定変更履歴を自動的に記録し、いつ誰がどのように変えたかを追跡できるようにする。 |
| セキュリティ基準違反リソースの検出 | 「S3は常に暗号化必須」「パブリックIPを持つEC2は禁止」などのルールを定義し、基準に反するリソースを自動で検出する。 |
| 自動修復との連携 | 違反を検出した際にSSM AutomationやLambdaを呼び出して、設定を自動的に是正するセルフヒーリング的な仕組みを構築する。 |
ベストプラクティス
| 必須リソースのルール設定 | セキュリティグループや暗号化などの準拠状況をルールで管理する。 |
| 自動修復アクション | 違反検知時にSSM Automationで自動修正を実行する。 |
| 履歴とスナップショット | リソース構成変更の履歴を追跡し、原因分析に活用する。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・Config Rules(ルール評価エンジン) ・リソース設定履歴(Configuration History) ・設定スナップショット(Configuration Snapshots) ・コンプライアンスデータ(Compliance Data) ・設定レコーダー(Configuration Recorder) ・配信チャネル(Delivery Channel) ・リソース関連性マップ(Resource Relationships) ・集約機能(Aggregator) ・コンフォーマンスパック(Conformance Packs) ・修復アクション(Remediation Actions) ・クエリエンジン(Advanced Queries) ・通知・イベント配信 |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 自サービスのRecorder/Delivery設定の健全性監査・ルールコンプライアンスの可視化 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 設定ルール改ざん・無効化のAPI異常検知 |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| S3 | 構成履歴 |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| ConfigurationItemsRecorded | 記録された設定項目数 |
| NumberOfConfigRulesCompliant | 準拠ルール数 |
| NumberOfConfigRulesNonCompliant | 非準拠ルール数 |
| NumberOfConfigurationRecordersRecording | 記録中レコーダー数 |
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| 保持期間 | 7年 |
| ハードリミット | 制限値 |
|---|---|
| 設定レコーダー数/リージョン | 1 |
| ソフトリミット | 制限値 |
|---|---|
| 設定ルール数/リージョン | 150 |
| 集約器数/リージョン | 50 |
| ソースアカウント数/集約器 | 1,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| 設定項目 | 記録される設定項目数 |
| ルール評価 | Configルールの評価回数 |