AWS Configとは？導入でできることとメリット、使い方を解説

クラウド上でのリソース管理において、変更履歴やリソース構成の把握が難しいとお悩みのエンジニアやシステム担当者の方も多いのではないでしょうか？

そこで重要となるのが「AWS Config」というサービスです。AWS Configは、AWS上で稼働するリソースの状態を監視し、変更履歴を追跡するためのサービスであり、リソースの構成や状態の変更に関する詳細な情報を把握できます。

この記事では、AWS Configの使い方や導入によるメリット、導入の際に検討すべき点、そして設定手順について解説していきます。

AWS Configを活用することで、より効率的にAWS環境を管理することができ、セキュリティ上の問題やコンプライアンスに関する観点からも大きなメリットを得ることができます。是非、この記事を参考にして、AWS Configを活用したクラウド上でのリソース管理の改善を目指してみてください。

監修者

石田 哲也

Twitter：@te2319
株式会社ニュートラルワークス 取締役CMO。1984年生まれ。高校卒業後にISD株式会社を起業。その後、株式会社オプトでWebマーケティングを学び、株式会社メタップスなど複数のベンチャー企業にて事業立ち上げを経験。前職はワンダープラネット株式会社でゲームプロデューサーとしてスマホゲームアプリの制作に従事。2018年に地元の神奈川へ戻り、ニュートラルワークスに入社。SEO/Web広告運用/サイト分析・改善など、Webサイトの運用改善～ゲームアプリ制作や数十万フォロワーのSNSアカウントの運用経験などWebビジネス全般を守備範囲とする。

■経歴
2003年　ISD株式会社/起業
2009年　株式会社オプト/SEMコンサルタント
2011年　株式会社メタップス/シニアディレクター
2013年　ライブエイド株式会社/執行役
2016年　ワンダープラネット株式会社/プロデューサー・BizDev
2018年　株式会社ニュートラルワークス/取締役CMO

■得意領域
Webサイト改善
SEO対策
コンテンツマーケティング
リスティング広告

■保有資格
Google アナリティクス認定資格（GAIQ）
Google 広告検索認定資格
Google 広告ディスプレイ認定資格
Google 広告モバイル認定資格

執筆者

株式会社ニュートラルワークス

QUERYY(クエリー)編集部

QUERYY(クエリー)は、株式会社ニュートラルワークスが運営するデジタルマーケティング情報メディアです。

AWS Configとはどんなサービスか？

AWS Configというサービスの概要について、わかりやすく解説します。

AWS Configとは

AWS Configとは、AWSアカウント内のリソースの設定詳細ビューを提供し、時間の経過とともに設定と関係がどのように変わるかを確認できるサービスです。AWSリソースとは、AWSで使用できるサービスのことであり、Amazon EC2インスタンス、Amazon EBSボリューム、セキュリティグループ、Amazon VPCなどを指します。

AWS Configでは、リソースの設定が最適であるかどうかを評価したり、AWSアカウントに関連付けられているサポート対象リソースの現設定のスナップショットを取得可能です。また、AWSリソースの設定履歴を取得し、リソース間の関係を表示できます。

AWS Configは、AWSリソースの設定を記録、評価、監査できるサービスであり、クラウド利用におけるコンプライアンス監査、セキュリティ分析などにも役立ちます。
AWS Auroraとは？RDSとの違いや導入のメリット、独自の機能について解説

AWS Configの仕組み

AWS Configの有効化により、アカウント内に存在するAWSリソースを検出し、リソースごとに設定項目を生成します。リソースの設定が変更されたときにも設定項目を生成し、設定レコーダーの起動時点からリソースの設定項目の記録を履歴として保持していることが特徴です。

AWS Configは、DescribeまたはListのAPIコールを呼び出してリソースごとに変更を追跡し、設定詳細をキャプチャします。このサービスでは、すべての関連リソースやAPIで開始されていない設定変更も追跡可能です。

AWS Configルールを使用すると、AWSリソースの設定を継続的に評価できます。各ルールはAWS Lambda関数に関連付けられ、リソースを評価すると、関連付けられたAWS Lambda関数が呼び出されます。Lambda関数は、評価されたリソースのコンプライアンスステータスを返し、ルールの条件に違反している場合、AWS Configはリソースとルールに非準拠のフラグを付ける挙動です。リソースのコンプライアンスステータスが変わると、AWS ConfigはAmazon SNSトピックなどに通知します。
AWS Amplifyで何ができる？メリット・デメリットを解説

AWS Configの配信チャネル

AWS Configの配信チャネルには、Amazon S3バケットとAmazon SNSトピックがあります。

Amazon S3バケットを使用する場合、AWS Configはリソースタイプごとに設定履歴ファイルを6時間ごとに送信し、ファイルにはその6時間の間に変更があったリソースの詳細が含まれます。設定変更が発生しなかった場合、AWS Configはファイルを送信しません。

AWS CLIでdeliver-config-snapshotコマンドを使用するか、AWS Config APIでDeliverConfigSnapshotアクションを使用すると、AWS Configは設定スナップショットをAmazon S3バケットに送信します。設定スナップショットには、AWSアカウントでAWS Configが記録したすべてのリソースの設定詳細が含まれます。設定履歴ファイルと設定スナップショットはJSON形式です。

また、AWS Configは指定されたAmazon SNSトピックを使用して通知を送信します。受信する通知の種類は、メッセージ本文のmessageTypeキーの値で示されます。Amazon SNSトピックを使用する場合、SNSトピックの通知エンドポイントとしてAmazon SQSを使用するのがおすすめです。

AWS Configで何ができる？

ここでは、AWS Configで何ができるかについて解説します。

1.リソース設定の変更・管理ができる

AWS Configは、AWS上のリソース設定を変更や管理ができます。AWS Configを使用することで、リソース間の関連性を追跡し、リソースを変更する前に依存関係を確認可能です。

また、リソース設定の変更が発生すると、AWS Configは設定の履歴を自動的に取得し、任意の時点でリソース設定の状況を確認できます。AWS Configは、リソース設定の変更がユーザーの他のリソースへどの程度影響するかを評価できるため、変更による影響を最小限に抑えられるでしょう。このように、AWS Configを使用することで、リソース設定の変更や管理によって発生する問題を事前に予測し、リスクを軽減できます。

2.リソース設定の履歴を確認できる

AWS Configは、マネジメントコンソールやAPI、CLIなどを使用して、過去のあらゆる時点でのリソースの設定履歴の詳細を調査可能です。

この機能を利用することで、任意の時点でリソース設定の状況を確認でき、変更前後の状態比較ができるため、変更による問題やエラーの原因特定や再現が容易になります。また、AWS Configを使用することで、リソース設定の履歴ファイルが指定したAmazon S3バケットに自動的に送信・記録されるため、履歴管理が自動的かつ効率的に行えます。

3.複数のリソース設定のデータ集約ができる

AWS Configには、複数のリソース設定のデータを集約できる機能があります。これにより、AWS Configを利用して、複数のアカウントやリージョンのリソース設定の監視が可能です。

AWS Configでは、マルチアカウントやマルチリージョンでのデータ集約ができるため、AWS Organizationのアカウントに迅速にアクセスすることが可能です。また、コンプライアンス状況を把握することもできます。

AWS Configのコンソール画面には、組織全体でのコンプライアントルールに合っていないルールの総数や、コンプライアントルールに適合していない上位の5個、さらにはコンプライアントルールに適合していないAWSアカウントの上位5個が示されます。これにより、不正な設定を素早く見つけられるでしょう。

4.リソース設定の比較・評価ができる

AWS Configは、設定変更に関するガイドラインを定義するカスタムルールをAWS Lambdaで作成し、AWS Configに設定することができます。これにより、AWS Configのルールをカスタマイズし、リソース設定や変更の評価が可能です。また、AWS Configのカスタムルールを使用することで、カスタムルールに準拠しているかどうかを確認できます。

さらにAWS Configは、ルールに準拠しているかどうかを確認するだけでなく、設定の変更履歴を追跡し、リソースの前回の設定との比較も可能です。これにより、問題の特定や原因の解明が容易になります。また、設定に違反しているリソースや設定変更によって引き起こされた問題を特定し、解決へも導けるでしょう。

5.リソース同士の関係を検出・追跡できる

AWS Configの機能の1つに、リソース同士の関係を検出・追跡できるというものがあります。AWS Configは、アカウント内のAWSリソースの関係を検出し、リソース間の依存関係を追跡することができます。

例えば、新しいAmazon EC2セキュリティグループを作成した場合、AWS Configはそのセキュリティグループと関連するAmazon EC2インスタンスを自動的に検出し、その関係を追跡可能です。そして、Amazon EC2インスタンスとAmazon EC2セキュリティグループの設定の更新が同時に記録されます。

この機能によって、AWSリソース間の依存関係を視覚的に把握することができ、依存関係の変更があった場合にも、リソースの設定が常に最新であることを確認できます。また、リソースの設定変更に関するガイドラインを作成することができ、システムの複雑さを把握しやすくなるでしょう。これにより、AWSリソースの管理がより効率的になり、アカウント内のリソース間の依存関係をより簡単に理解できます。
AmazonのAWS EC2とは？導入メリットやインスタンスなど基本知識を解説

6.記録対象のスナップショットを入手できる

AWS Configは、設定のスナップショットとして、その時点におけるすべてのリソースおよびリソースの設定が取得できます。

設定のスナップショットはAWS CLIやAPIによってオンデマンドで作成され、指定したAmazon S3バケットに送信されます。これにより、ユーザーは任意の時点でリソースの状態を正確に把握し、変更の履歴を確認可能です。また、設定のスナップショットはセキュリティ、監査、リスクマネジメントなどの目的に活用できます。

例えば、AWS Configを使用して設定のスナップショットを取得することで、リソースの設定が不正な変更によって悪用された場合、変更前の設定に簡単に戻せます。さらに、設定のスナップショットを活用することで、コンプライアンスや規制要件を満たす設定が出るかどうかも評価できるでしょう。

AWS Config導入によるメリット

AWS Configを利用することでどのようなメリットがあるかを解説します。

1.管理者の負担を軽減できる

AWS Configを導入することで得られるメリットの1つに、管理者の負担を軽減できるという点があります。

具体的には、AWS Configがサポートする各種リソースを常時監視することで、AWS内での設定変更が行われた場合に管理者へ即時通知が送られます。これにより、管理者側は手動で設定変更を監視する必要がなくなり、適切な対応を行えます。

AWS Configを使用せずにAWSのリソース設定変更を把握するためには、個々のリソースの設定を定期的に確認する必要がありました。しかしながら、AWS Configを使用すると、リソースの設定変更に関する通知を自動的に受信することができ、手動での設定変更監視にかかる時間や手間を大幅に削減できます。

また、AWS Configは、サードパーティ製品であるMicrosoft Active Directoryなどのリソースの管理も行えます。これにより、複数のサービスを使用している場合でも、統一的な設定管理が可能になり、管理者の負担軽減につながるでしょう。

管理者の負担軽減のメリットを得やすいユーザーや環境の特徴としては、多数のAWSリソースを管理している場合や、複数のサービスを使用している場合が挙げられます。これらの場合、AWS Configを使用することで管理作業を効率化し、設定の一元管理を行えます。

2.トラブルが生じた際の影響が少ない

AWS Configを導入することで、トラブルが生じた際の影響を最小限に抑えることができます。その理由は、AWS Configがサポートしている各リソースの設定変更履歴を常に監視しているためです。リソースの設定が変更されると、管理者へ即座に通知されるので、問題が発生した時にどのリソースに変更があったかをすぐに確認できます。

例えば、あるEC2インスタンスに対して設定変更を行った場合、その変更がトラブルの原因である可能性があります。AWS Configを使用していれば、そのEC2インスタンスの設定変更履歴を確認し、問題が発生する前の元の設定値に戻せるのです。そのため、トラブルが生じた場合にも迅速かつ正確な対応が可能であり、業務の停止時間を最小限に抑えられます。

メリットを得やすい環境の特徴としては、多数のリソースを管理している場合や、変更履歴を追跡する必要がある場合に適しています。また、過去にトラブルを経験したことがあるユーザーや、ビジネス上の影響が大きいユーザーにとっても、導入することで大きなメリットを得られるでしょう。

3.社内コンプライアンスの確保に役立つ

AWS Configを導入することで、社内コンプライアンスの確保が可能です。AWS Configはポリシーやベストプラクティスの設定ができ、ルールに違反したリソースに対しては非準拠のフラグが付けられます。これにより、ルール違反の確認が即座にでき、すぐに対応できます。

例えば、特定のリージョンへのリソース作成が規制されている場合、AWS Configを使用してそのリージョンにリソースを作成した場合、非準拠のフラグが付けられ、即座に違反したリソースへの対応ができます。このように、AWS Configを導入することで、社内コンプライアンスの確保を容易にし、適切な管理が行えるでしょう。

AWS Configを導入する前に注意するべきこと

AWS Configの導入にあたり、検討すべき注意点を紹介します。

1.AWSリソースのすべてがサポートされているわけではない

AWS Configは、AWSリソースの設定詳細を記録できますが、すべてのリソースがサポートされているわけではありません。AWS Configを利用する際には、サポートされているリソースの範囲を確認しておく必要があるでしょう。

詳しくは下記を参考にしてください。

AWS Configでサポートされているリソースタイプとリソース関係｜AWS

2.AWS Configのルール違反が続いても通知は継続しない

AWS Configは、ルール違反が起こった場合に通知を行いますが、その状況が続いていても通知は継続しません。このため、運用側が違反の修正を素早く行う必要があります。適切な対応を行わないと、セキュリティ上のリスクやコンプライアンスの問題が発生する可能性があるため、AWS Configを導入する際には注意しておかなければなりません。

3.コンプライアンス違反そのものを防止する機能ではない

AWS Configは、ルール違反があったことを知らせることができますが、ルール違反自体を防止するための機能ではありません。つまり、AWS Configを導入しただけではコンプライアンス違反を防止できないため、運用側がコンプライアンス違反の対処や予防策を実施する必要があります。

参考になる情報として、AWS Configのルールによる非準拠のAWSリソースの修復についてのリンクを挙げておきます。こちらでは、AWS Configを使用してリソースを自動修復する方法について説明されています。

AWS Configルールによる非準拠のAWSリソースの修復｜AWS

AWS Configを開始する際の流れ

ここでは、AWS Configを実際に開始する際の流れや開始当初に気を付けたほうが良い点について解説します。

AWS Config設定の流れ

AWS Config設定の流れは以下のようになります。

1.AWS Configコンソールを開く
AWS Configコンソールを開き、「今すぐ始める」ボタンをクリックします。

2.記録するリソースタイプを選択する
AWS Configがサポートするリソースをすべて記録する場合は「このリージョンでサポート…」を選択します。特定のリソースのみを記録する場合は「特定のリソースタイプを記録する」を選択し、リソースカテゴリとリソースタイプを選択します。

3.AWS Configのロールを設定する
AWS Configサービスへのアクセスを許可するIAMルールを選択します。AWS Configサービス用にロールを作成する場合は「AWS Configサービスにリンクされたロールの作成」を、既にあるロールから選択する場合は「アカウントからロールを選択」を選択します。既存のロールを選択する場合は、AWS Configに付与するロールを選択します。

4.Amazon S3バケットを選択する
設定履歴などが保存されるAmazon S3バケットを選択します。

5.Amazon SNSトピックを選択する
設定変更をAmazon SNSのトピックに通知する場合は、Amazon SNSトピック欄のチェックボックスをチェックし、通知先のトピックを選択します。

6.設定を確認し、実行する
AWS Configで変更を記録するルールを選択し、設定内容を確認します。「確認」ボタンをクリックして設定を実行します。

AWS Configの料金は高い？

AWS Configは、AWSリージョンごと、AWSアカウントに記録された設定項目ごと、0.003USDが課金されます。また、アクティブなAWS Configルールによる評価を行った数量や、コンフォーマンスパック（多数のルールをまとめたもの）での評価数量に基づいても課金されます。

もし、AWS Configの料金が高くなってしまった場合には、以下のような対処法があります。

設定項目の数を削減する：AWS Configは、AWSアカウントに記録された設定項目ごとに課金されます。不要な設定項目を削除することで、料金を抑えることができます。
AWS Configルールを見直す：AWS Configルールによる評価は、評価した数量に基づいて課金されます。不要なルールを無効化することで、評価件数を減らすことができます。
コンフォーマンスパックを活用する：コンフォーマンスパックは、AWS Configルールをまとめて利用できるため、設定の工数を大幅に削減可能です。また、評価件数が多い場合には、単価が下がる階層料金制を活用することで、料金を抑えられます。
オンデマンド評価を制限する：AWS Configルールによるオンデマンド評価を制限することで、料金を抑えられます。定期的な評価を行うように設定することで、料金の上昇を防止可能です。
サービス連携の料金を確認する：AWS Configは、Amazon S3、Amazon SNS、AWS Lambdaなどのサービスと連携できます。これらのサービスを利用する場合には追加料金が発生するため、料金を確認し、必要な場合にのみ利用すると良いでしょう。

AWS Configの料金は高い？

AWS Configは、AWSリージョンごと、AWSアカウントに記録された設定項目ごと、0.003USDが課金されます。また、アクティブなAWS Configルールによる評価を行った数量や、コンフォーマンスパック（多数のルールをまとめたもの）での評価数量に基づいても課金されます。

もし、AWS Configの料金が高くなってしまった場合には、以下のような対処法があります。

• 設定項目の数を削減する：AWS Configは、AWSアカウントに記録された設定項目ごとに課金されます。不要な設定項目を削除することで、料金を抑えることができます。
• AWS Configルールを見直す：AWS Configルールによる評価は、評価した数量に基づいて課金されます。不要なルールを無効化することで、評価件数を減らすことができます。
• コンフォーマンスパックを活用する：コンフォーマンスパックは、AWS Configルールをまとめて利用できるため、設定の工数を大幅に削減可能です。また、評価件数が多い場合には、単価が下がる階層料金制を活用することで、料金を抑えられます。
• オンデマンド評価を制限する：AWS Configルールによるオンデマンド評価を制限することで、料金を抑えられます。定期的な評価を行うように設定することで、料金の上昇を防止可能です。
• サービス連携の料金を確認する：AWS Configは、Amazon S3、Amazon SNS、AWS Lambdaなどのサービスと連携できます。これらのサービスを利用する場合には追加料金が発生するため、料金を確認し、必要な場合にのみ利用すると良いでしょう。

AWS Configを活用してリソース管理を効率化させよう

AWS Configは、AWS上で動作する監査ツールであり、AWSリソースの設定変更履歴やコンプライアンス情報を記録、評価し、監査やセキュリティ対策を支援するサービスです。

AWS Configを導入することで、AWS上のリソースの変更履歴を自動的に記録することができ、設定変更やリソースの関連性の変更によって予期せぬ障害やセキュリティ上の問題が発生した場合に、問題の特定や修正を支援することができます。

また、AWS Configは、AWS Configルールを使用してAWSリソースのコンプライアンス状態を評価可能です。AWS Configルールは、AWSが提供するルールや独自にカスタマイズしたルールを使用することができ、コンプライアンス状態の監査や改善を支援します。

AWS上の変更履歴やリソース構成の把握に悩む企業様は、AWS Configを導入して効率的にリソース管理をしていきましょう。