Tag: AWS Config

AWS re:Invent 2023では5つの基調講演、17のイノベーショントーク、2,250以上のセッションが行われ、52,000人が参加しました。注目されたのは1)持続可能なセキュリティ文化の構築、2)人間中心のAIによるセキュリティ強化、3)AWS Wickrなどでのセキュアなコラボレーションでした。セキュリティをビジネスに組み込む重要性、生成AIで人間を補助すること、AWS Wickrを使った安全な遠隔医療などが紹介されました。AWSはセキュリティを最優先し、技術とビジネスの両面で成果を上げるよう取り組んでいます。

2023 年 10 月 26 日、Trusted Advisor は新しく運用上の優秀性のチェックカテゴリーを追加し、AWS Config と統合したことで、すべてのカテゴリーで合わせて 64 の新しいベストプラクティスチェックを提供しました。このローンチにより、AWS 環境の運用準備状況が改善され、Trusted Advisor チェックの適用範囲が広がり、AWS Well-Architected Framework のベストプラクティスとの整合性を高めることができます。
本ブログ投稿では、新しい運用上の優秀性カテゴリーについて詳しく説明し、Trusted Advisor が運用リスクと最適化の機会の特定にどのように役立つかをサンプルシナリオを通して説明します。

AWS Config は、AWS アカウント内または AWS Organizations 全体の AWS リソースの設定変更を追跡するサービスです。AWS Config は設定レコーダーを使用してリソースの変更を検出し、それらを設定項目 (CI) として追跡します。クラウドインフラストラクチャの複雑さが増すにつれ、CI の数は指数関数的に増加しています。ワークロードは、短い時間間隔でリソースを作成、更新、削除することを含むため、その性質上、検出されるリソース変更の数の増減は動的になっています。過去には、設定レコーダーは常時記録のみをサポートしており、本番環境でない場合でも、追跡対象のリソースへの変更が発生したタイミングでそれをすべてキャプチャしていました。この度、AWS Config の定期記録機能の提供を発表できることを大変嬉しく思います。この新機能により、設定レコーダーの記録頻度を日次に設定することが可能になりました。これまでの連続的な記録や設定項目の更新に代わり、過去 24 時間で変更があった場合に、インスタンスの最新の状態を表す設定項目が受信されるようになります。24 時間の周期内で、そのリソースタイプの定期記録が有効になっているリソースを作成および削除した場合は、設定項目は生成されません。定期記録を使用することで、すべてのリソースタイプのデフォルトの記録頻度を日次に設定し、カスタマイズ可能な上書きを行うことができます。

AWS Config の高度なクエリ機能は、AWS リソースの設定状態を示すメタデータを取得し、リソースのコンプライアンス状態を特定するための SQL ベースのクエリインターフェースを提供します。AWS Config の高度なクエリは、単一の AWS アカウントおよびリージョン、または AWS Config のアグリゲータを使用して設定されたマルチアカウントとクロスリージョンにおいても使用できます。しかしながら、クエリの作成には SQL の知識および、リソースの設定プロパティとリソース間の関係性の理解が必要であり、お客様のAWS 環境の規模と複雑さが増すにつれ、SQL の作成はより複雑で時間のかかる作業になりがちでした。

そこでこの度、AWS Config では自然言語で書かれたシンプルな命令や質問を使用して AWS リソース、設定、コンプライアンス状態を問い合わせることができる生成 AI を活用した自然言語クエリ (プレビュー提供) 機能をリリースしました。クエリを自然言語の文章、命令、質問として記述できるため、SQL を学習したり、リソースの設定プロパティやリソース間の関係性を理解するための負荷が低減します。

本ブログでは、AWS Config の高度なクエリ機能で自然言語クエリを利用する方法を解説します。シンプルな文から始めて、求める回答を得るためにどのように改善していけば良いかも併せて解説します。

AWS の最大規模のお客様の中には、AWS Control Tower を使用して、複数アカウントの AWS 環境を管理・保護している方もいらっしゃいます。AWS Control Tower は、アカウント登録時に AWS Config を有効化し、セキュリティのベストプラクティスを実装しています。これにより、サポートされているすべての AWS リソースがモニタリングされます。
すべてのリソースをモニタリングすると、必要のないリソースのアクティビティも記録されてしまうという声を一部のお客様からいただくことがあります。本番環境において、コンプライアンス目的で必要な情報を記録することは多くのお客様にとって重要です。しかし、開発環境やステージング環境では本番環境ほど詳細にログを記録する必要はないかもしれません。その場合、記録対象から不要なリソースをフィルタリングすることは、対策となるうえに AWS Config のコストを抑えることにもつながります。

AWS Config は、AWS アカウント内のリソースの構成と関係性を評価、監査、検証します。このサービスをコスト最適化に使用したい理由は何でしょうか。たとえば、特定の Amazon Relational Database Service (Amazon RDS) インスタンスがアカウントにデプロイされた場合にアラートを受信できるシナリオを考えてみましょう。必要以上に大きいインスタンスタイプが使用されている場合、予期しないコストが発生する可能性があります。

AWS Config は、AWS アカウント内の AWS リソースの設定変更を追跡するサービスです。AWS Config は、記録しているリソースタイプの変更を検出するたびに、設定レコーダー を使用して設定項目を作成します。この記事では、AWS Config が有効になっている場合に、AWS CloudTrail を使用して設定項目の数の推定値を把握する方法を説明します。

こんにちは、Solutions Architect の松岡です。 私の所属する ISV/SaaS ソリューショ […]

こんにちは。ISV/SaaS ソリューション本部 Solutions Architect の前田です。 私が所 […]

2022 年 7 月 5 日に、AWS 管理ポリシー AWSConfigRole は非推奨となります。このポリ […]