AWS認定資格 WEB問題集&徹底解説

ソリューションアーキテクト – アソシエイト

AWS Config の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Configはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-アソシエイト(SAA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Config 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Configは、AWSリソースの設定変更を継続的に記録・評価・監査するサービスです。「いつ・誰が・何を変更したか」の設定履歴と、「現在の設定が組織のポリシーに準拠しているか」のコンプライアンス評価を提供します。

CloudTrailがAPIコールのログ(誰が何をしたか)を記録するのに対し、AWS Configはリソースの設定状態(どんな状態か)を追跡し、ルールベースでコンプライアンスを自動評価します。セキュリティ監査・コスト最適化・変更管理・障害調査に活用されます。

2. 主な特徴と機能

2.1 設定履歴と設定スナップショット

設定履歴(Configuration History)は指定リソースの全設定変更の履歴。設定スナップショット(Configuration Snapshot)は特定時点のAWS環境全体の設定状態をS3に保存。変更前後の設定比較が可能です。

2.2 Configルール

リソース設定のコンプライアンス基準を「ルール」として定義し、自動評価します。

  • AWS マネージドルール: AWSが事前定義した150以上のルール(例: s3-bucket-public-read-prohibited, ec2-instance-no-public-ip等)。設定するだけで即利用可能。
  • カスタムルール(Lambda): Lambda関数で独自のコンプライアンス基準を実装。組織固有のポリシーを評価可能。
  • 評価トリガー: 設定変更時(変更トリガー)または定期実行(定期トリガー)。

2.3 コンフォーマンスパック

複数のConfigルールとその修復アクションをYAMLでパッケージ化したもの。組織全体に一括デプロイしてガバナンスフレームワーク(CIS/PCI-DSS等)を実装。

2.4 自動修復(Auto Remediation)

非準拠リソースを検出したとき、Systems Manager Automationのランブックを自動起動して設定を修正。手動修復の承認ステップを挟むことも可能。例: パブリックアクセスが有効なS3バケットを検出→自動でブロックパブリックアクセスを有効化。

2.5 AWS Organizations統合

組織全体にConfigルールとコンフォーマンスパックを一括デプロイ。委任管理者アカウントから全メンバーアカウントのコンプライアンス状態を集中管理。

3. アーキテクチャおよび技術要素

  1. AWS Configがリソース変更をキャプチャし、設定履歴をS3に保存(設定レコーダー)。
  2. EventBridgeにConfigルール変更イベントを送信。通知をSNSで受け取り。
  3. Configルールが変更トリガーまたは定期トリガーでリソースを評価→コンプライアンス状態をDashboardに表示。
  4. 非準拠時にSystems Manager Automationを起動して自動修復。

4. セキュリティと認証・認可

  • 設定履歴の保護: 設定履歴をS3に保存。バケットポリシーでアクセスを制限し改ざんを防止。
  • IAMロール: ConfigにリソースのRead権限を持つIAMサービスロールが必要。
  • マルチアカウント管理: Organizations統合で全メンバーアカウントのコンプライアンスを一元把握。

5. 料金形態

  • 設定アイテム記録: 記録された設定アイテム数に課金(リソース変更1件あたり)。
  • Configルール評価: ルール評価回数に課金(マネージド・カスタムとも同一単価)。

6. よくあるアーキテクチャ・設計パターン

  • セキュリティコンプライアンス自動チェック: ConfigルールでS3パブリックアクセス・SGの0.0.0.0/0ルール・MFA未設定ルートアカウント等を継続監視。非準拠時にSNS通知。
  • 自動修復: 非準拠なセキュリティグループを検出し、SSM Automationで自動的にルールを削除・制限。
  • 変更の追跡と障害調査: インシデント発生時に設定履歴で「いつ・何が変わったか」を即座に確認。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS Configコンソールで「設定レコーダー」を有効化。記録するリソースタイプ・S3保存先・SNS通知先を設定。
  2. Configルールをマネージドルールから選択(例: s3-bucket-public-read-prohibited)してアタッチ。
  3. 非準拠時の自動修復アクション(Systems Manager Automationランブック)を設定。
  4. コンフォーマンスパックでCISベンチマーク等のセキュリティフレームワークを組織全体に一括デプロイ。

8. 試験で問われやすいポイント

8.1 AWS ConfigとCloudTrailの違い

  • Q: ConfigとCloudTrailの役割の違いは?
    A: CloudTrailは「誰がいつ何のAPIを呼んだか」のアクションログ。AWS Configは「リソースの設定がどう変化したか」の状態変化の追跡とコンプライアンス評価。

8.2 Configルール

  • Q: AWS Configルールのトリガータイプは?
    A: 変更トリガー(リソース設定変更時に評価)と定期トリガー(指定周期で評価)の2種類。
  • Q: 独自のコンプライアンスルールを実装するには?
    A: カスタムConfigルール(Lambdaベース)で評価ロジックを実装。

8.3 自動修復

  • Q: 非準拠リソースを自動で修正するには?
    A: Configルールに自動修復アクション(Systems Manager Automationランブック)を設定。

8.4 コンフォーマンスパック

  • Q: 複数のConfigルールをまとめてデプロイする方法は?
    A: コンフォーマンスパックにConfigルールをまとめてYAMLで定義し、アカウントまたは組織全体に一括デプロイ。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報