aws-recipe-user こんにちは!Bogartです。
AWS Configは時系列として各サービスの操作履歴を確認、管理することが出来るサービスです。
AWSには変更管理や操作ログを収集するAWS CloudTrailというサービスがありますが、AWS APIの操作したログを集めるものであり、各サービスの状態変更や構成管理はAWS Configを利用することで実現できます。
先日行なわれたre:Invent2015ではAWS Configの追加機能として、AWS Config Rulesが発表されたので紹介していきます。
AWS Config Rulesとは
AWS Config Rulesを利用することで、現在運用しているAWS環境が自社や業界で求めらるセキュリティ基準に合致しているかどうかをチェックすることが可能になります。
事前に定義されたテンプレートやLambdaファンクションとして独自のカスタムルールを作成することにより下記のように、セキュリティ要件をルールとして登録することが可能になります。
・EBSボリュームを暗号化しているかどうか
・Elastic IPが各インスタンスに紐付けられているか
・本番環境のセキュリティグループにおいて特定のポートが開いていないかどうか
これらのチェックはリソースを作成した時点だけではく、1 時間、3 時間、6 時間、12 時間、24 時間の中から頻度を選択して定期的に実行することができます。
また変更が発生した場合はAmazon Simple Notification Service (SNS)で通知をするようにするといった設定を施すことで、AWS環境をリアルタイムかつ継続的にモニタリングすることができるようになります。
つまり、Cloud Config Rulesを活用し、AWS環境が、いつ・どのように・セキュリティ基準に違反したかといったことを容易に特定できるようになることで、クラウドを利用していく上でのセキュリティガバナンスを大きく向上させることができます。
AWS Config Rulesの利用料金
AWS Config Rules は、アカウント内のアクティブになっているルールの数に応じて料金が発生します。1ヶ月に1度以上チェックしたルールがアクティブになっているルールになります。
AWS のリソースがルールと比較されるたびに、評価結果としてレポートが記録されます。変更がある場合や、毎時間や毎日など定期的にルールのチェックを実行することが出来ます。
これらのルールをチェックした場合に対しての結果に対して課金をされるという仕組みになります。
設定履歴ファイルは指定した S3 バケットに送信され、Amazon SNSによって設定変更通知が送信されます。
標準の Amazon S3 および Amazon SNS の料金が適用され、Lambdaファンクションによって作成するルールに関してもAWS Lambda の料金が適用されます。(極めて僅かではありますが…)
Config Rules の具体的な費用は、アクティブなルールにつき 2 USD/月が生します。
各ルールにつき、追加料金なしでお客様のアカウントで毎月20,000 回までのチェックが可能です。
これらの枠をクォータと呼びます。
ルールに対してさらに多くのチェックが必要な場合、追加の評価に 1,000 回につき 0.10 USD/月が発生します。
なかなか具体的な費用感がわかないと思いますので一般的なモデルケースに対して発生する費用を書いていきたいと思います。
AWS Config は各 AWS リソースおよび設定の変更を設定項目 (CI) として記録します。
9,000 CI/月を記録し、5 つのアクティブなルール (2 つは定期的、3 つは変更によってトリガー) を作成しており、1 日に合計 250回の評価をレポートすると仮定した場合は以下ような費用が発生します。
AWS Config の料金: 9,000 * 0.003 USD = 27.00 USD
5 つのアクティブルールの料金: 5 * 2.00 USD = 10.00 USD
評価結果のクォータ = 5 * 20,000 = 100,000
実行される評価の数 = 250 評価 * 30 日 = 7,500 評価/月
評価結果に対する追加料金 = 0.0 USD
AWS Config の合計月額料金 = 37.00 USD
※これらに加えてS3,SNS,Lambda等の費用が発生します。
いかがでしたでしょうか?
実際のダッシュボード画面や、レポートで取得されるデータ等については、弊社SEが書いた記事をご覧になってください。
AWS Config編~Config Rulesで監視する~
次回もお楽しみに!
