AWS Config で複数アカウント、複数リージョンのデータ集約が可能に

Amazon Web Services(AWS)は先日、AWS Configルールによって複数のアカウントないしリージョンで生成されたコンプライアンスデータを集約して、AWSリソースの一元的な監査と管理を可能にする機能を追加した。新たに用意された集約ダッシュボードビューには、組織全体の不適合なルールが表示される。そこからドリルダウンすることで、ルールに反するリソースを詳細に確認することが可能になる。

AWS Configは、サポート対象のAWSリソースタイプを継続的に監視し、さまざまな属性のその時点でのビューを構成項目として記録するサービスである。記録した構成履歴とリソースの関連は手作業で検査したり、事前設定された管理ルールとAWS Lambda関数として実装されたカスタムルールとをサポートするルールエンジンを使用して、変更を自動的に評価することができる。リソースの変更や評価の結果はS3バケットに配信可能な他、SNS通知や(先頃可能になった)CloudWatchイベント(以前の記事)経由で監視して、分析などのAWSサービスやサードパーティツールによる“コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティング”といった対応措置を起動することができる。

AWS Configjはまた、リソース構成の変更とAWS CloudTrial(以前の記事)で記録されたAPI操作を関連付けて、誰が、いつ、どのIPアドレスから変更を要求したのかといった詳細を明らかにすることで、運用上の問題の根本原因を特定したり、セキュリティインシデントの分析情報を提供することも可能である。

構成項目の記録や他のアカウントへの通知は従来も可能ではあったが、複数のリージョンやアカウントを跨いだコンプライアンス状況の把握は困難で、サードパーティベンダとの統合を必要とする場合が多かった。AWS Configコンソール内に独自の集約ダッシュボードを提供して、組織全体にわたってコンプライアンス違反に関する詳細をドリルダウン可能することで、AWSは、自らが推奨し、採用数の増加している複数アカウント運用をフォローアップする。

イメージ: AWS Config集約ビューダッシュボード (紹介ブログ記事より)

AWS Configによるマルチアカウント・マルチリージョンのデータ集約は、以下のステップと概念で行われる。

1. 対象とするアカウントおよびリージョン内にアグリゲータを構成する。
2. AWS Organizationsのマルチアカウントサポート(以前の記事)を通じて、個別あるいは自動的にソースアカウントを特定する。
3. ソースリージョンを指定するか、あるいは単純に全リージョンを指定する。利用予定のリージョンを含むことも可能である。
4. ソースアカウントのオーナから、アグリゲータアカウントに対して許可を提供する。この操作は、ソースアカウントがAWS Organizationの一部でない場合のみ必要である。

通常の操作と同じく、これらの手順は、AWS Management Console、AWS CLI、およびAWS CloudFormation経由で実行可能である。これにより、膨大な数のアカウントに対するAWS Configの設定も簡単に行うことができる。コンプライアンス管理の観点からは極めて単純化されているが、予期しないコストへの影響に注意する必要がある。これは、AWS コミュニティのヒーローであるEric Hammond氏が、“AWS Configの価格スキーマの改善”を求める理由にもなっている。

現在の15リージョンで全28の個人アカウントを対象として、単一のAWS Config Ruleを有効にすると、年間10,000ドル以上の費用が掛かります。これらのアカウントやリージョンの大部分は、実際には何も発生していないはずです。

関連するニュースとして、AWS Configはこれまでに、利用率の高いティアでのルールの低価格化、構成要素に対してデータ保持期間を指定する機能の追加、リソース構成とコンプライアンス変更通知のAmazon CloudWatch Eventsとの統合(以前の記事)などを導入してきた。

AWS Configの代用ないし追加として使用可能な、さまざまなオープンソースツールがある。代表的なソリューションは次のものだ。

• Capital OneのCloud Custodianでは、“セキュリティとコスト最適化の両面で適切に管理されたクラウドインフラストラクチャを実現するためのポリシ定義が可能”である。
• NetflixのSecure Monkeyは、“AWSおよびGCPアカウントのポリシ変更を監視し、安全でない構成を警告する”。
• Toni de la Fuente氏のProwlerは、“CIS Amazon Web Services Foundations Benchmark 1.1に従って、AWSアカウントのセキュリティを評価および強化”する。

AWS自身でも、AWS Configの機能セットと重複するソリューションを提供している。AWS GuardDuty脅威検出サービス(以前の記事)やAWS Trusted Advisorプレミアムサポートサービス(以前の記事)などはその例だ。

Microsoft Azureも、新しいAzure Policyサービスを通じて、同種の機能セットを備えたコンプライアンスソリューションを提供している。現在は無償だが、現時点では公開プレビューとしてのみ利用可能である。

AWS Configのドキュメントとしては、“始めに(getting started)”の章を含む開発者ガイドやAWS CLIリファレンス、APIリファレンスなどがある。さらに、AWS Config Rules RepositoryとAWS Config Rules Development Kit (RDK)も用意されており、“コンプライアンス・アズ・コード”ワークフローによる“カスタムConfigルールのセットアップ、記述、テスト”を支援している。サポートは AWS Organizationsフォーラムを通じて行われる。設定項目毎に1回の課金に加えて、アクティブなルール毎の月額課金がある。詳細はAWS Config価格に紹介されている。構成スナップショットと履歴ファイルの記録は無償だが、必要なストレージはAmazon S3価格に基づいた通常の課金の対象となる。