Tweet

AWS Config

• AWS Configの基本（「設定の変化を見張る」って何？）がわかる
• メリット（監査に強い）と注意点（自動修正は別）がわかる
• CloudTrail / Trusted Advisor / Systems Managerとの違いが整理できる

① ストーリー性を取り入れた説明

旅行会社の新規事業開発部では、旅行写真をS3に保存して新サービスを進めていました。ところが「保存場所が増えすぎて、誰がどこまで見られるか曖昧」という状態になり、監査対応で指摘されそうになっています。

月末会議まで時間がないのに、手作業で全バケットの設定を点検するのは現実的ではありません。ケンイチは焦りながら課長に駆け込みました。

ケンイチ：
「課長、写真データの管理体制で困っています。
保存場所が増えすぎて、権限もバラバラで…監査で指摘されそうです」

課長：
「それならAWS Configを入れよう。
AWSの“設定が変わった瞬間”を記録して、ルール違反を見つける番人だ」

ケンイチ：
「ルール違反を見つける番人？？…すみません、それは一体どういうことでしょうか？」

課長：
「ひとことで言うと、AWSリソースの設定を記録して、ルールで評価するサービスだ。
たとえばS3バケットが“公開設定”になったら、すぐ分かる」

ケンイチ：
「つまり、AWSの設定変更をずっと見張ってくれる…という理解でよいでしょうか？」

課長：
「そう。ポイントは2つある。

ケンイチ：
「でも、それがどうして“監査に強い”んですか？」

課長：
「監査でよく聞かれるのはこれだ。
『今の設定はルール通り？』『誰が変えた？』『いつから？』
Configがあると、証拠（履歴）と判定（評価結果）を出しやすい」

ケンイチ：
「すごい…。じゃあConfigが見つけたら、自動で直してくれるんですか？」

課長：
「そこは誤解しやすい。
Configは基本、監視と評価まで。自動修正は“別チーム”の仕事だ」

ケンイチ：
「アラートを出して、直すのは人…ということですね？」

課長：
「人でもいいし、自動化もできる。
たとえば、Configで違反を検知 → Systems ManagerやLambdaで修正、が王道だ」

ケンイチ：
「最初は何からやるのが良いでしょうか？」

課長：
「全部を一気にやると挫折する。
今日は“写真の守り”に直結するところから。
S3の公開設定と暗号化、それからログの有無をルールで見張ろう」

ケンイチ：
「優先順位をつける、ですね。まずはS3から始めます！」

よく間違えられやすい用語との違い

② 実際の事例

AWS Configを明記した企業事例は公開情報では確認できませんでした（非公開のケースもあります）。その代わり、AWS公式が示している典型的な使い方を、実例の代替として具体化します。

例1：S3バケットの“うっかり公開”を早期発見
「公開設定になっていないか」「暗号化が有効か」などのルールで評価し、違反を見つけたら通知。写真や個人情報を扱うサービスで特に効果が大きいです。

例2：セキュリティグループの危険な変更を検知
「特定ポートを0.0.0.0/0に開けない」などのルールを作り、設定変更を検知。必要ならSystems Manager/Lambdaと連携して是正も可能です。

情報源：AWS Configのユースケース

③ クイズや小テスト

クイズ1

AWS Configが得意なのはどれ？

A：設定の変更履歴を残して、ルールで評価する

B：アプリの画面を自動で作る

C：動画を高速に配信する

クイズ2

「Configは自動で直してくれる」と言われたら正しい反応はどれ？

A：その通り。Configだけで修正まで完結する

B：違う。Configは検知・評価が中心で、修正は別の仕組み

C：違う。Configは画像編集ソフト

クイズ3

「誰が変更したか」を追うのに相性が良いのはどれ？

A：AWS CloudTrail

B：AWS Snowcone

C：Amazon S3 Glacier

答え：

1-A：（設定の変更履歴を残して、ルールで評価する）（監査に強い）

2-B：（違う。Configは検知・評価が中心で、修正は別の仕組み）（連携で自動化）

3-A：（AWS CloudTrail）（操作の記録係）

解説：Configは「設定の番人」。CloudTrailは「操作の記録係」。両方あると“何が変わった”と“誰が変えた”をセットで追いやすくなります。