CONTENT
こんにちは、KSです。
現在AWS資格であるソリューションアーキテクト合格に向けて勉強中です。
今回はセキュリティ関連サービスについてまとめてみました。
■ AWS Configとは?
・AWSリソースの構成を記録・評価するサービス
・「どのリソースが、いつ、どのように設定されたか」を追跡できる
・コンプライアンスや監査で利用されることが多い
■ 主要な機能
・構成履歴の記録
・AWSアカウント内のリソース(EC2, S3, IAM, VPC, RDSなど)の設定状態をスナップショットとして記録
・変更があると自動でイベントが発生し、新しい構成が保存される
・保存先は S3(長期保存)、SNS通知も可能
・リソース間の関係把握
・どのリソースがどのリソースと関連しているか(例: EC2 ↔ VPC ↔ SG)を可視化できる
・Configルールによる評価
・リソースがベストプラクティスに準拠しているかチェック
・例:S3バケットに必ず暗号化が有効か?
・例:EC2インスタンスに特定のタグがついているか?
・ルールの種類
・AWSマネージドルール(よくあるセキュリティ・コンプライアンスチェックを提供)
・カスタムルール(Lambdaで独自ルールを実装)
■ コンプライアンス評価
・各リソースがルールに「準拠 (COMPLIANT)」しているか「非準拠 (NON_COMPLIANT)」かを判定
・ダッシュボードで確認でき、監査証跡に使える
■ ポイント
・CloudTrailとの違い
・AWS Config = リソースの「状態」を記録
・CloudTrail = APIコールの「操作履歴」を記録
・例:「誰がEC2を停止したか?」→ CloudTrail
・例:「その時EC2にどんなセキュリティグループがついていたか?」→ AWS Config
・コンプライアンス自動チェック
・S3バケットの暗号化必須、IAMポリシー制限、セキュリティグループのルール確認などを自動で評価できる
・Security HubやOrganizationsと連携し、セキュリティ管理の中心にもなる
・マルチリージョン・マルチアカウント対応
・AWS Organizationsと統合し、複数アカウントの設定を集約可能
・集約先で全体的にコンプライアンス状況を監視できる
■ ユースケース
・監査対応:S3バケットが常に暗号化されていることを確認したい
・AWS Configルールでチェック、非準拠なら通知
・セキュリティ要件:EC2に特定のタグがついていないと違反としたい
・カスタムConfigルールを作成
・過去状態の確認:EC2が先週どのセキュリティグループを持っていたか確認したい
・AWS Configの構成履歴から確認