概要

• 構成変更の追跡やセキュリティ分析、コンプライアンス準拠を容易にするサービス
• AWSリソースの構成変更をロギング
  • 保持期間は30日～7年の間で設定可能（デフォルトは7年）

リソースのインベントリ

• 特定のSGを利用しているリソースを検索
• AWSサービスのリソース間の関係を簡易

AWS Config Rules

• 準拠すべきルールを事前に設定
  • EC2インスタンスに特定のタグ付け
  • 所定のAMIでEC2インスタンスを起動
  • EBSの暗号化
• ルールに沿った構成変更が行われているかを評価
• マネージドルール（AWSが定義）、カスタムルールの2種類がある
• 設定変更時と、それとは別に定期的に評価される

ベストプラクティス

• 全てのアカウントとリージョンでAWS Configを有効化
• グローバルリソースは1リージョンだけ有効化（重複記録を防ぐ）
• ヒストリーとスナップショットはS3に保存（安全のため）
• マルチアカウント環境ではData Aggregation機能推奨（集中管理を実現）

疑問点

• Data Aggregationとは