AWS 認定資格 ラボ
セキュリティ・運用

AWS Config とは?リソース構成変更追跡とコンプライアンス評価

AWS Config は リソース構成(コンフィグ)の変更を継続的に記録・評価するサービス。CloudTrail が「API 呼び出し」を記録するのに対し、Config は 「リソースの状態と変更履歴」 を記録する。コンプライアンスルールで「S3 が暗号化されているか」「S...

#AWS #Config #セキュリティ

AWS リソースの構成変更を継続的に追跡し、コンプライアンスを評価するサービス。

1. 概要(端的に)

AWS Config は リソース構成(コンフィグ)の変更を継続的に記録・評価するサービス。CloudTrail が「API 呼び出し」を記録するのに対し、Config は 「リソースの状態と変更履歴」 を記録する。コンプライアンスルールで「S3 が暗号化されているか」「SG がポート 22 を全開放していないか」等を自動チェックできる。

2. 何ができるか

  • 構成変更の記録:全 AWS リソースの設定履歴
  • コンプライアンス評価:定義済み・カスタムルールで自動チェック
  • マネージドルール:AWS 提供 250+ のチェック
  • 修復アクション:違反検出時の自動修復(SSM Automation)
  • マルチアカウント・マルチリージョン集約:Aggregator
  • タイムライン表示:リソース履歴の可視化

3. 特徴

観点特徴
追加料金構成項目記録 + ルール評価
対象EC2 / S3 / RDS / IAM 等 主要 AWS リソース
記録粒度設定変更ごと
ルールマネージド + カスタム(Lambda)
修復SSM Automation 連携
ダッシュボードコンプライアンス可視化

vs CloudTrail

観点ConfigCloudTrail
記録対象リソース状態API 呼び出し
用途コンプライアンス監査・調査
質問「今この S3 は暗号化されてる?」「誰がこの S3 を変更した?」
補完関係両方有効化が標準

4. 仕組み

Config は リソース変更時に Snapshot を取り、ルールで評価する。

構成要素

  • Configuration Recorder:記録する対象のリソース定義
  • Configuration Item(CI):1 リソースの 1 時点の状態
  • Delivery Channel:S3 への配信
  • Rule:コンプライアンスチェック
  • Aggregator:マルチアカウント集約

動作の流れ

  1. リソース変更(EC2 SG 変更等)
  2. Config が新しい Configuration Item 作成
  3. ルール評価(ノンコンプラ検知)
  4. SNS / EventBridge 通知
  5. (オプション)SSM Automation で自動修復

マネージドルール例

  • s3-bucket-server-side-encryption-enabled:S3 暗号化チェック
  • restricted-ssh:SG で 22 番ポート 0.0.0.0/0 開放禁止
  • iam-password-policy:パスワードポリシー設定
  • rds-storage-encrypted:RDS 暗号化チェック

Conformance Pack

  • 複数ルールをまとめたコンプライアンスパック
  • HIPAA / PCI DSS / NIST 等のテンプレート

5. ユースケース

ユースケース 1:コンプライアンス監査

HIPAA / PCI DSS / SOC 2 で「設定が標準に準拠しているか」を継続評価。

ユースケース 2:構成ドリフト検知

意図しないリソース変更の検知。

ユースケース 3:自動修復

S3 が公開されたら自動的にプライベート化。

ユースケース 4:マルチアカウント統制

Aggregator で組織全体のコンプライアンス可視化。

ユースケース 5:変更履歴の追跡

セキュリティインシデント時にリソース履歴確認。

6. 関連用語

7. 関連サイト

AWS 公式

🎓 試験での出題傾向

試験重要度主な出題パターン
CLF構成管理の概念
SAAコンプライアンス設計
DVA出題稀
SOAコンプライアンス運用・監査