翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Config とは?
<a name="WhatIsConfig"></a>

AWS Config は、AWS アカウントにある AWS リソースに関する設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

AWS *リソース*は、ユーザーが AWS で操作できるエンティティで、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) などがあります。AWS でサポートされている AWS Config リソースの詳細なリストについては、「[でサポートされているリソースタイプ AWS Config](resource-config-reference.md)」を参照してください。

## 考慮事項
<a name="config-considerations"></a>
+ **AWS アカウント**: アクティブな AWS アカウント が必要です。詳細については、「[AWS へのサインアップ](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html#getting-started-signing-up)」を参照してください。
+ **Amazon S3 バケット**: 設定スナップショットと履歴のデータを受信するには、S3 バケットが必要です。詳細については、[Amazon S3 バケットのアクセス許可](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)を参照してください。
+ **Amazon SNS トピック**: 設定スナップショットと履歴に変更があった場合に通知を受け取るには、Amazon SNS が必要です。詳細については、「[Permissions for the Amazon SNS Topic](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-policy.html)」を参照してください。
+ **IAM ロール**: AWS Config にアクセスするのに必要なアクセス許可を持つ IAM ロールが必要です。詳細については、「[Permissions for the IAM Role](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html)」を参照してください。
+ **リソースタイプ**: AWS Config で記録するリソースタイプを決定できます。詳細については、「[AWS リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。

## AWS Config を使用する方法
<a name="common-scenarios"></a>

通常、AWS でアプリケーションの実行時に使用する AWS リソースは一括して作成し管理する必要があります。アプリケーションの需要が増えるに従って、AWS リソースを追跡する作業も増大します。AWS Config は、以下の目的でアプリケーションのリソースを監視します。

### リソースの管理
<a name="scenarios-resource-administration"></a>

リソースの設定に対するガバナンスを強化し、リソースの誤設定を検出するには、どのようなリソースがあり、どのように設定されているかを常に正確に把握しておく必要があります。AWS Config では、各リソースに対する呼び出しをポーリングして、リソースが作成、変更、削除されるたびに通知が送信されるため、これらの変更をモニタリングする必要がありません。

AWS Config のルールを使用して、AWS リソースの設定を評価できます。AWS Config でルールの条件に違反しているリソースが検出されると、AWS Config によってそのリソースに非準拠のフラグが付けられ、通知が送信されます。また、AWS Config はリソースの作成、変更、または削除を継続的に評価します。

### 監査とコンプライアンス
<a name="scenarios-auditing-and-compliance"></a>

使用しているデータが自社のポリシーやベストプラクティスに準拠していることを確認するために頻繁な監査を必要とする場合があります。コンプライアンスを確認するには、リソースの設定履歴にアクセスする必要があります。この情報は AWS Config から提供されます。

### 設定変更の管理とトラブルシューティング
<a name="scenarios-managing-and-troubleshooting-configuration-changes"></a>

複数の相互に依存する AWS リソースを使用している場合、1 つのリソースの設定変更が他の関連リソースに予期しない影響を及ぼすことがあります。AWS Config では、リソースを変更する前に他のリソースとの関連性を確認し、変更の影響を判断できます。

また、AWS Config が提供するリソースの設定履歴を使用して、問題のトラブルシューティングを行ない、問題が発生したリソースの最後の正常であると判明している設定にアクセスできます。

### セキュリティ分析
<a name="w2aab5b9c11"></a>

セキュリティの潜在的な脆弱性を分析するには、ユーザーに付与されている AWS Identity and Access Management (IAM) アクセス許可や、リソースへのアクセスを制御する Amazon EC2 セキュリティグループのルールなど、AWS リソースの設定に関する詳細な履歴情報が必要です。

AWS Config が記録していた期間内であれば、AWS Config を使用して、ユーザー、グループ、またはロールに割り当てられた IAM ポリシーを確認できます。この情報に基づいて、特定の時間にユーザーに属していたアクセス許可を確認できます。例えば、ユーザー `John Doe` が 2015 年 1 月 1 日に Amazon VPC 設定を変更するアクセス許可を持っていたかどうかを表示できます。

AWS Config では、特定の時間に開いていたポートのルールなど、EC2 セキュリティグループの設定を確認することもできます。この情報により、特定のポートに着信する TCP トラフィックをセキュリティグループがブロックしていたかどうかを判断できます。

### パートナーソリューション
<a name="config-concepts-partner-solutions"></a>

ロギングと分析に関するサードパーティースペシャリストのいる AWS パートナーからは、AWS Config の出力を使用するソリューションが提供されています。詳細については、[AWS Config](https://aws.amazon.com/config) の AWS Config の詳細ページにアクセスしてください。

## 機能
<a name="config-features"></a>

AWS Config を設定すると、以下の操作を実施できます。

**リソース管理**
+ AWS Config で記録するリソースタイプを指定する。
+ 設定スナップショット (リクエストした場合) と設定履歴を受け取るように Amazon S3 バケットを設定する。
+ 設定のストリーミング通知を送信するように Amazon SNS を設定する。
+ Amazon S3 バケットと Amazon SNS トピックへのアクセス許可を AWS Config に付与する。

  詳細については、「[AWS リソースの設定および履歴の表示](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)」および「[AWS リソースの設定および履歴の管理](https://docs.aws.amazon.com/config/latest/developerguide/aws-config-landing-page.html)」を参照してください。

**ルールおよびコンフォーマンスパック**
+ 記録済みのリソースタイプのコンプライアンス情報を評価するために AWS Config で使用するルールを指定する。
+ 適合パック、AWS アカウント で単一のエンティティとしてデプロイおよびモニタリングできるルールの集合。

  詳細については、「[AWS Config ルールを使用したリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)」および「[コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」参照してください。

**修正**:
+ AWS Config ルール によって評価される非準拠のリソースを修正します。

  詳細については、「[Remediation](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)」を参照してください。

**アグリゲーター**
+ アグリゲーターを使用すると、リソースのインベントリとコンプライアンスを一元的に把握できます。アグリゲータは、複数の AWS アカウント アカウントと AWS リージョンから AWS Config 設定データとコンプライアンスデータを収集します。

  詳細については、[[マルチアカウントマルチリージョンのデータ集約](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)] を参照してください。

**高度なクエリ**
+ サンプルクエリのいずれかを使用するか、AWS リソースの構成スキーマを参照して独自のクエリを作成します。

  詳細については、[[AWS リソースの現在の設定状態のクエリ](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html)] を参照してください。