AWS Configとは？ 概要からメリットまで、基本を学ぶ

AWSの公式サイトを見ると「AWSリソースの設定を記録して評価」と書かれていました。これは、AWSのサービス紹介のなかでは、かなり分かりやすいような気がします。要するに、EC2インスタンスなどのAWSリソースについて、どんな設定がされたのかを記録して、評価する、っていうことですよね。

Amazon EC2、Amazon S3、Amazon RDSなどさまざまなサービスに対応していて、これらの「構成が変更された」ときに自動でその履歴が記録されます。構成が変更された……といってもその幅は広くて、起動や停止、インスタンスタイプの変更、設定変更などかなりいろいろな内容が記録されていくので、「EC2インスタンスがいつの間にか停止していた！」とか「S3バケットが公開設定に！」とかのトラブルの原因を追いかけられるようになります。

AWS Configでは大きく3つの機能があります。

• 設定内容を時系列で確認できる
• リソース間の関係性を記録できる
• 特定のタイミングの構成をスナップショットとして記録できる

具体的な流れとしては、AWSリソースで構成変更があると、AWS Configが変更を検知して記録。変更箇所を洗い出したうえで、「ストリーム」「ヒストリー」「スナップショット」という形式で保存します。「ストリーム」は、リソースが作成・変更・削除されるときに作成され、構成ストリームに追加されていくもので、ここの内容をベースにAmazon SNSを経由して通知などができるようです。「ヒストリー」はリソースタイプごとに要素を集めたもの。たとえば、あるEC2インスタンスについて過去どういった変更がおこなわれたか、といった視点でデータを保存しています。「スナップショット」はある時点での情報をまとめて取得して保存したもので、AWS Configではこの3つの視点から構成情報を管理しています。

ちなみにマネジメントコンソールではAWS Configのダッシュボードも用意されていて、AWS Configで記録・管理している情報をまとめて確認できます。設定のタイムラインでは、リソースの設定状況を時系列で確認できるほか、AWS CloudTrailと連携して「だれがその操作をしたか」まで追跡することも。リソース間の関係を保持しているので、「特定のセキュリティグループに所属するリソースを検索」とかも可能です。

上で紹介した3つよりも、よく見かけるのが「Configルール」です。これはまさに「設定を評価」を担う部分。事前にルールを設定して、評価することが可能です。

どんなルールを設定できるかというと、「EBSボリュームが暗号化されていること」といったセキュリティ上必要なポイントから、「EC2インスタンスにはルールにあわせてタグを設定する」など運用のためのルールまでさまざま。AWSではよくあるニーズに対応したマネージドルールが用意されているほか、ユーザでカスタムルールを定義して使うこともできます。

ルールに違反したものを検知した際には、通知のほか、修復アクションを実行することも可能。「S3バケットがパブリックな読み込みを許可されたので、設定を無効化する」など、ルールに紐づけたアクションを実行して、対処まで自動化できるようです。

ここまで見てきて、確かにAWS Configは便利そうだな、AWSを使うなら、ちゃんと使えたらいいんだろうな、というところまではたどり着きました。

具体的なメリットはというと、「セキュリティ対策」「トラブルシューティング」「コンプライアンス準拠」を容易にできる、というのが大きいでしょう。

ここまでも例を挙げてきましたが、「セキュリティ上、問題のある設定になっていないかを継続的に確認する」「ミスでAWSリソースの変更や削除をしてしまったときに原因を究明したい」「コンプライアンス準拠のため、決まったルールに則って環境を整備する必要がある」といったときには、AWS Configが有効です。

では、実際どう使うかは、AWS Configのベストプラクティス をチェック。AWSが公開している20項目のうち、最初に気をつけたいポイントをまとめました。

• すべてのアカウントとリージョンで有効化する
• すべてのリソースタイプの設定変更を記録する
• AWS Configが収集した設定履歴やスナップショットは安全なS3バケットに保存する
• 通知などは一元管理する

「安全なS3バケット」は、パブリックに公開されておらず、必要なユーザのみアクセスできて……というものですが、これもAWS Configで管理できるよね、というワケです。なんかすごい。

AWS Configを改めて基本から学んだことで、ここまでいろんなところでよく見かけたのも納得というか、AWSを使うなら「使わないとはじまらない」んだろうな、というのも理解しました。が！とはいえ、だからといって、これをベースに自分がやりたい運用までいけるかどうかは別の話。そこはやはりAWSなので、「要素は用意したからあとは組み合わせて使ってね」感がすごい！それはやっぱりちょっとね……ハードルが高いよね……と腰が引けた方に朗報です（突然の営業）。ソニービズネットワークスでは、セキュリティ強化支援サービス のなかで、よくあるニーズをあらかじめ実装したパッケージをご提供。もちろん、実装はソニービズネットワークスのエンジニアが実施しますし、自社のポリシーにあわせた設定で、短期間で導入できます。AWS Configを利用して、IAMリソースの設定を監視するもの、Amazon EC2などに意図しない設定がされていないかを監視するものなどがあるので、気になる方はぜひご相談ください。

そしてもうひとつ！なかなか魅力をお伝えする機会がなかったものの、個人的にすごいと思っているのですが、ソニービズネットワークスのAWS導入運用支援サービス「マネージドクラウド with AWS」で標準提供する「クラウドポータル」では、AWS Configの情報をベースに、構成図を自動で生成します！

これ、すごくないですか？こういう構成図って、パワポとかで作るの面倒ですし、変更があったときに反映するの絶対忘れるし、かといって何もないとなるといろいろ問題があるという厄介な存在。それを！常に自動で最新のものを！！！

ちなみに、設計情報をまとめたPDFもダウンロード可能でして、監査対応に便利というお声をいただいております。クラウドポータル の機能をまとめた資料も用意していますので、よかったらぜひダウンロードをお願いします。

以上、シイノキでした！