AWS Configとは
AWSリソースの設定変更を継続的に記録・評価するサービス。Config Rulesで「S3バケットが公開されていないか」「セキュリティグループがSSHを全開放していないか」などのコンプライアンスを自動チェックする。
設定変更の履歴をタイムライン表示し、過去の状態に戻るためのスナップショットを保存する。マネージドルールとカスタムルール(Lambda)の2種類のルールを使い分ける。
試験での問われ方
「リソース設定のコンプライアンス自動チェック・変更履歴の追跡・ドリフト検出」シナリオではConfig(CloudTrailでなく)を選ぶ。CloudTrailはAPIコールの監査、Configはリソース設定の継続的コンプライアンスという違いが頻出。
SAPではAWS Organizations + Config集約アカウントで複数アカウントのコンプライアンスを一元管理する構成が問われる。自動修復(Systems Manager Automationのトリガー)もConfig Remediation機能で設定できる。
このサービスが登場する演習問題(8問)
- 【CLF-C02】ある金融企業が、すべてのAWSリソースが社内のセキュリティポリシー(例:S3の暗号化が必須、特定のリージョンのみ使用可能…
- 【CLF-C02】ある企業が、AWSアカウント内のS3バケット・EC2インスタンス・セキュリティグループの設定が社内のセキュリティポリシー…
- 【AIF-C01】ある企業が AWS Organizations を使ってマルチアカウント環境で Amazon Bedrock を利用して…
- 【SAA-C03】ある企業が、本番環境の AWS アカウントで重要なリソース(EC2 インスタンス、RDS データベース、S3 バケット)…
- 【SAA-C03】ある企業が、AWS Certificate Manager(ACM)で発行した TLS 証明書を ALB にアタッチして…
- 【SAP-C02】ある大手メディア企業が AWS Organizations でマルチアカウント環境を管理しており、開発・テスト・本番の各…
- 【SAP-C02】ある企業が AWS 上で稼働する複数のアカウントにわたる EC2 インスタンスのセキュリティパッチ状況を確認したところ、…
- 【SAP-C02】ある企業が AWS Organizations で管理する複数のアカウントで、AWS Config を使ってリソースのコ…