什么是AWS Config
AWSアカウント内に存在する各種AWSリソース(EC2、EBS、セキュリティグループ、VPCなど)の構成情報を取得し、
管理するサービスです。
使用目的
主要な利用目的としては、以下の2点が挙げられます。
①取得したAWSリソースの構成情報が利用者によって事前定義されたルール(ElasticIPが付与されているか、暗号化ボリュームを利用しているか、必須タグを使用しているか…等)と合致しているかを評価する。
②AWSリソースの構成変更履歴(いつ、どのように作成、変更、削除が行われたか等)を記録する。
过去考试题
AWS リソースの設定を評価、監査、審査できるAWSサービスは次の内どれですか?
- AWSConfig
- AWS Secrets Manager
- AWS CloudTrail
- AWS Trusted Advisor
AWS Config は、AWS リソースの設定を評価、監査、および監視するマネージドサービスです。AWS リソースの設定変更を継続的に監視し、指定されたルールに従ってリソースの設定の適切性を評価します。設定の変更履歴を記録し、変更への準拠を確認することができます。
B: AWS Secrets Manager は、アプリケーションの機密情報を安全に保存、管理、取得できるサービスです。リソース設定の評価や監査には使用されません。
C: AWS CloudTrail は、AWSアカウントのアクティビティ関連のイベントを提供するサービスです。リソース設定の変更履歴を追跡できますが、設定の適切性を評価したり、ルールに従って監査したりするための機能は備えていません。
D: AWS Trusted Advisor は、AWSリソースのプロビジョニング、セキュリティ、耐障害性、パフォーマンスなどに関するベストプラクティスに関するアドバイスを提供するサービスですが、リソース設定の評価や監査には使用されません。
过去考试题
AWSリソースの設定変更を継続的に監視し、記録するために最適なサービスはどれですか?
- AWS Config
- AWS CloudTrail
- AWS CloudWatch
- AWS Identity and Access Management (IAM)
正解はA: AWS Configです。
AWS Configは、AWSリソースの設定を継続的に監視し、記録するサービスです。これにより、リソースの設定変更を追跡し、コンプライアンスを評価することができます。
B: AWS CloudTrailは不正解です。CloudTrailはAWSアカウントのAPIアクティビティを記録するサービスですが、リソースの設定変更の継続的な監視に特化したものではありません。
C: AWS CloudWatchも不正解です。CloudWatchはAWSリソースとアプリケーションのモニタリングサービスですが、主にパフォーマンスメトリクスやログの監視に使用され、設定変更の追跡には適していません。
D: AWS Identity and Access Management (IAM)も不正解です。IAMはユーザー、グループ、ロールの管理とアクセス制御を行うサービスであり、リソースの設定変更の監視には使用しません。
过去考试题
あるユーザーは、Amazon EC2インスタンスのセキュリティグループが先月に変更されたかどうかを確認する必要があります。どうやって確認しますか?
- セキュリティグループのログを確認するようアクセス許可を要求する。
- Amazon Inspectorを使用してインスタンスの脆弱性を診断する。
- AWS Configを使用してセキュリティグループ変更のログを検索する。
- API履歴を検索する。
AWS Configは、AWSリソースの設定変更を記録し、履歴を提供するマネージドサービスです。
セキュリティグループの変更はAWSConfigによりログに記録されるため、当該ログを確認することで問題の状況を確認できます。
A: ログを確認するためのアクセス許可を要求するだけでは不十分です。
B: Amazon Inspectorはインスタンスのセキュリティリスクやコンプライアンスを評価するサービスですが、セキュリティグループの変更履歴を確認するには適していません。
D: API履歴はセキュリティグループの変更履歴を確認するには不十分です。AWSConfigを使用するのが最も適切な方法です。
参考文章
AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた
https://business.ntt-east.co.jp/content/cloudsolution/column-try-26.html#section-03