AWS Config の用語と概念
このトピックでは、AWS Config の理解に役立ついくつかの重要な概念について説明します。
目次
AWS Config インターフェイス
AWS Config コンソール
AWS Config コンソールを使用してサービスを管理できます。AWS マネジメントコンソール の詳細については、「AWS マネジメントコンソール」を参照してください。
AWS Config CLI
AWS Command Line Interface は、コマンドラインで AWS Config を操作できる統合ツールです。詳細については、AWS Command Line Interfaceユーザーガイドを参照してください。AWS Config CLI コマンドの全一覧については、「Available Commands」を参照してください。
AWS Config API
コンソールと CLI に加えて、AWS Config RESTful API も使用できます。API を使用すれば、AWS Config を直接プログラムすることができます。詳細については、「AWS Config API リファレンス」を参照してください。
AWS Config SDK
AWS Config API を使用する代わりに、いずれかの AWS SDK を使用することもできます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、AWS Config へのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、Amazon Web Services のツール
リソース管理
AWS Config の基本コンポーネントを理解すると、リソースのインベントリと変更を追跡し、AWS リソースの設定を評価するのに役立ちます。
AWS リソース
AWS リソースは、AWS マネジメントコンソール、AWS Command Line Interface (CLI)、AWS SDK、または AWS パートナーツールを使用して作成および管理するエンティティです。AWS リソースの例として、Amazon EC2 インスタンス、セキュリティグループ、Amazon VPC、Amazon Elastic Block Store などが挙げられます。AWS Config は、リソース ID や Amazon リソースネーム (ARN) などの一意の識別子を使用して各リソースを参照します。AWS Config がサポートするリソースタイプの一覧については、「AWS Config のサポートされているリソースタイプ」を参照してください。
リソース関係
AWS Config はアカウント内の AWS リソースを検出し、AWS リソース間の関係のマップを作成します。例えば関係には、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス i-a1b2c3d4 に接続された Amazon EBS ボリューム vol-123ab45d が含まれる場合があります。
詳細については、「AWS Config のサポートされているリソースタイプ」を参照してください。
構成レコーダー
設定レコーダーは、範囲に含まれるリソースタイプの設定変更を設定項目として保存します。詳細については、「設定レコーダーの使用」を参照してください。
設定レコーダーには 2 つのタイプがあります。
| タイプ | 説明 |
|---|---|
| カスタマー管理設定レコーダー | ユーザーが管理する設定レコーダー。範囲に含まれるリソースタイプはユーザーが設定します。デフォルトでは、カスタマー管理設定レコーダーは AWS Config が実行されている AWS リージョンのすべてのサポートされているリソースを記録します。 |
| サービスにリンクされた設定レコーダー | 特定の AWS のサービスにリンクされた設定レコーダー。範囲に含まれるリソースタイプは、リンクされたサービスによって設定されます。 |
配信チャネル
AWS Config では、AWS リソースへの変更を継続的に記録し、通知および更新された設定状態を配信チャネルを通じて送信します。配信チャネルを管理して AWS Config から設定の更新を送信する先を制御できます。
設定項目
設定項目は、アカウント内のサポートされている AWS リソースのさまざまな属性を特定の時点で反映したビューです。設定項目のコンポーネントには、メタデータ、属性、関係、現在の設定、関連イベントなどが含まれます。AWS Config は、記録対象のリソースタイプで変更を検出するたびに、設定項目を作成します。例えば、AWS Config が Amazon S3 バケットを記録している場合、AWS Config はバケットの作成、更新、削除が行われるたびに設定項目を作成します。AWS Config に選択して、設定した記録頻度で設定項目を作成することもできます。
詳細については、「Components of a Configuration Item」および「Recording Frequency」を参照してください。
設定履歴
設定履歴は、特定期間の特定リソースに関する設定項目のコレクションです。設定履歴から、リソースの最初の作成日、先月の設定内容、昨日午前 9 時に行われた設定変更などを確認できます。設定履歴は複数の形式で利用できます。AWS Config は、記録しているリソースタイプ別の設定履歴ファイルを、ユーザーが指定した Amazon S3 バケットに自動的に配信します。AWS Config コンソールで特定のリソースを選択し、そのリソースの以前の各設定項目にタイムラインを使用して移動できます。また、リソースの設定項目の履歴には API からアクセスすることもできます。
詳細については、「Viewing Compliance History」と「Querying Compliance History」を参照してください。
設定スナップショット
設定スナップショットは、アカウント内のサポートされているリソースに関する設定項目のコレクションです。設定スナップショットは、記録対象のリソースとその設定の全体像を示します。設定スナップショットは設定を検証するのに役立ちます。例えば、設定スナップショットを定期的に調べて、設定が間違っているリソースや不要と思われるリソースを見つけることができます。設定スナップショットは複数の形式で利用できます。設定スナップショットは、ユーザーが指定した Amazon Simple Storage Service (Amazon S3) バケットに配信できます。また、AWS Config コンソールで特定の時点を選択し、リソース間の関係を使用して設定項目のスナップショット内を移動できます。
詳細については、「Delivering Configuration Snapshots」、「Viewing Configuration Snapshots」、「Example Configuration Snapshot」を参照してください。
設定ストリーム
設定ストリームは、AWS Config で記録しているリソースに関するすべての設定項目の自動更新リストです。リソースが作成、変更、または削除されるたびに、AWS Config は設定項目を作成して設定ストリームに追加します。設定のストリーミングでは、ユーザーが選択した Amazon Simple Notification Service (Amazon SNS) トピックを使用します。設定ストリームを使用すると、設定変更をリアルタイムに把握し、潜在的な問題を見つけたり、特定のリソースが変更された場合に通知を生成したり、AWS リソースの設定を反映する必要がある外部システムを更新したりできます。
AWS Config ルール
AWS Config ルールは、特定の AWS リソースの理想的な設定を管理するのに役立つコンプライアンスチェックです。AWS Config は、リソース設定が関連するルールを遵守しているかどうかを評価し、コンプライアンス結果を表示します。
評価結果
AWS Config ルールについて考えられる評価結果が 4 件あります。
| 評価結果 | 説明 |
|---|---|
COMPLIANT |
ルールはコンプライアンスチェックの条件を満たしています。 |
NON_COMPLIANT |
ルールがコンプライアンスチェックの条件を満たしていません。 |
ERROR |
必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 |
NOT_APPLICABLE |
ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-check ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。 |
ルールタイプ
ルールには 2 つのタイプがあります。ルール定義およびルールメタデータの構造の詳細については、「AWS Config ルールのコンポーネント」を参照してください。
| タイプ | 説明 | 詳細情報 |
|---|---|---|
| マネージドルール | AWS Config によって作成される、事前定義されたカスタマイズ可能なルール。 | マネージドルールのリストについては、「AWS Config マネージドルールのリスト」を参照してください。 |
| カスタムルール | ゼロから作成するルール。AWS Config カスタムルールを作成するには、Lambda 関数 (AWS Lambda デベロッパーガイド) と、Guard (Guard GitHub リポジトリ |
詳細については、「Creating AWS Config Custom Policy Rules」および「Creating AWS Config Custom Lambda Rules」を参照してください。 |
トリガータイプ
アカウントにルールを追加すると、AWS Config はリソースをルールの条件と比較します。この初期評価後は、評価がトリガーされるたびに AWS Config で評価が実行されます。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。
| トリガータイプ | 説明 |
|---|---|
| 設定変更 | AWS Config は、ルールのスコープと一致するリソースがあり、そのリソースの設定に変更があったときに、ルールに対して評価を実行します。AWS Config設定項目の変更通知を送信後に、評価が実行されます。 どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。
AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。 |
| 定期的 | AWS Config では、指定した間隔 (24 時間ごとなど) で、ルールの評価を実行します。 |
| ハイブリッド | 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、AWS Config によって、設定変更の検出時と、ユーザー指定の間隔でリソースを評価できます。 |
評価モード
AWS Config ルールには、2 種類の評価モードがあります。
| 評価モード | 説明 |
|---|---|
| プロアクティブ | プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、AWS リソースを定義するために使用した一連のリソースプロパティが、リージョンのアカウントにあるプロアクティブなルールセットに照らして、COMPLIANT または NON_COMPLIANT であるかを評価できます。 詳細については、「評価モード」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。 |
| Detective | 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。 |
注記
プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。
コンフォーマンスパック
コンフォーマンスパックとは、AWS Config ルールと修復アクションの集まりであり、アカウントやリージョン、または AWS Organizations の組織全体に 1 つのエンティティとして簡単にデプロイできます。
コンフォーマンスパックは、AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含む YAML テンプレートを作成することで作成します。テンプレートは、AWS Config コンソールまたは AWS CLI を使用してデプロイできます。
AWS 環境をすぐに開始して評価するには、サンプルのコンフォーマンスパックテンプレートの 1 つを使用します。カスタムコンフォーマンスパックに基づいてコンフォーマンスパックの YAML ファイルをゼロから作成することもできます。カスタムコンフォーマンスパックは、AWS Config ルールと修復アクションの集合で、アカウントや AWS リージョン、または AWS Organizations の組織全体でまとめてデプロイできます。
プロセスチェックは、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できるようにする AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。AWS Config 期間と手動チェックを含むすべてのコンフォーマンスを一箇所で追跡することができます。
マルチアカウントマルチリージョンのデータ集約
AWS Config のマルチアカウント、マルチリージョンのデータ集約を使用すると、複数のアカウントとリージョンの AWS Config 設定データやコンプライアンスデータを 1 つのアカウントに集約できます。マルチアカウント、マルチリージョンのデータ集約は、中央の IT 管理者がエンタープライズの複数の AWS アカウント のコンプライアンスをモニタリングするうえで役立ちます。アグリゲータを使用しても、追加コストは発生しません。
ソースアカウント
ソースアカウントは、AWS Config リソース設定およびコンプライアンスデータの集約元となる AWS アカウント です。ソースアカウントは、個別のアカウントまたは AWS Organizations の組織を指定できます。ソースアカウントは個別に提供するか、AWS Organizations を通じて取得できます。
送信元リージョン
ソースリージョンは、AWS Config 設定データおよびコンプライアンスデータの集約元となる AWS リージョンです。
アグリゲータ
アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定とコンプライアンスデータを収集します。集約された AWS Config 設定データとコンプライアンスデータを表示させるリージョンでアグリゲータを作成します。
注記
アグリゲータでは、ソースアカウントからアグリゲータアカウントにデータをレプリケートすることにより、アグリゲータが閲覧を許可されているソースアカウントとリージョンに対して、読み取り専用ビューを提供します。アグリゲータでは、ソースアカウントまたはリージョンへの変更アクセスを提供しません。例えば、アグリゲータを使用してルールをデプロイしたり、アグリゲータを介してソースアカウントまたはリージョンにスナップショットファイルをプッシュしたりできないということを意味します。
サービスにリンクされたアグリゲータ
サービスにリンクされたアグリゲータは、特定の AWS のサービスにリンクされます。範囲内の設定データとコンプライアンスデータは、リンクされたサービスによって設定されます。
アグリゲータアカウント
アグリゲータアカウントは、アグリゲータを作成するアカウントです。
認可
承認とは、ソースアカウントの所有者として、AWS Config 設定データおよびコンプライアンスデータを収集するアグリゲータアカウントとリージョンに付与するアクセス許可のことです。AWS Organizations の一部であるソースアカウントを集約する場合、承認は必要ありません。
