本稿は、AWS Solution Architect Professional に出題される AWS Config について個人用にまとめた記事です。
目次
AWS Config とは
AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
AWS Config では、以下のことができます。
- AWS リソースの設定が最適な設定であるかどうかを評価する。
- AWS アカウントに関連付けられているサポート対象リソースの現在の設定のスナップショットを取得する。
- アカウント内にある 1 つ以上のリソースの設定を取得する。
- 1 つ以上のリソースの設定履歴を取得する。
- リソースが作成、変更、または削除されるたびに通知を受け取る。
- リソース間の関係を表示する(特定のセキュリティグループを使用するすべてのリソースを確認する場合など)。
マルチアカウントマルチリージョンのデータ集約機能
AWS Config のマルチアカウント、マルチリージョンのデータ集約を使用すると、複数のアカウントとリージョンの AWS Config 設定データやコンプライアンスデータを 1 つのアカウントに集約できます。マルチアカウントマルチリージョンのデータ集約は、中央の IT 管理者がエンタープライズの複数の AWS アカウントのコンプライアンスをモニタリングするうえで役立ちます。
( https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-concepts.html#multi-account-multi-region-data-aggregation )
ソースアカウント
ソースアカウントは、AWS Config リソース設定およびコンプライアンスデータの集約元となる AWS アカウントです。ソースアカウントは、個別のアカウントまたは AWS Organizations の組織を指定できます。ソースアカウントは個別に提供するか、AWS Organizations を通じて取得できます。
送信元リージョン
ソースリージョンは、AWS Config 設定データおよびコンプライアンスデータの集約元となる AWS リージョンです。
アグリゲータ
アグリゲータは、複数のソースアカウントとリージョンから AWS Config 設定データとコンプライアンスデータを収集する、AWS Config の新しいリソースタイプです。集約された AWS Config 設定データとコンプライアンスデータを表示させるリージョンでアグリゲータを作成します。
アグリゲータアカウント
アグリゲータアカウントは、アグリゲータを作成するアカウントです。
承認
承認とは、ソースアカウントの所有者として、AWS Config 設定データおよびコンプライアンスデータを収集するアグリゲータアカウントとリージョンに付与するアクセス許可のことです。AWS Organizations の一部であるソースアカウントを集約する場合、承認は必要ありません。