AWS configとCloud trailの違いに敏感な年頃になってしまいました。

 

AWS configとは

AWS Conifgは、AWSリソースの構成変更履歴(変更者、変更日時、変更内容）を自動的に記録・管理・可視化するサービスのことです。

 

「コンプライアンス監査」「セキュリティ分析」「変更管理」「運用上のトラブルシューティング」を簡素化できる。これを使うことにより、リソースの構成変更履歴が管理しやすくなります。

 

具体的な利用状況

• リソースの構成情報や変更履歴の検索
• リソースの構成変更が発生した場合の通知
• リソースの構成情報や設定変更操作を実行時点のキャプチャ

といったことができる点が便利なサービスです。

 

大規模なシステムになるにつれて、利用者も多くなり誰がどんな設定をしたのかすべてを把握することは困難となります。

AWS Configはトラブルシューティングや監査、コンプライアンスとして利用されています。

 

東京リージョンに対応しており、リージョンごとの管理です。

 

Cloud trailとは

AWSの操作履歴を追跡する監査サービスのことです。

AWS Conifgと違い、こちらはユーザーの操作履歴を管理するサービスとなり、構成情報の変更履歴をまとめるには管理しにくいです。

 

できること

• AWS全体でアカウントアクティビティをログに記録、継続監視し保持。
• AWSアカウント内のすべてのAPI呼び出しを記録。

つまり、AWSアカウント内における全ての操作を記録できます。

 

ユーザーの操作履歴を管理するAWS Configと統合することにより、運用上の問題の原因を特定することができます。

Cloud trailの記録を活用してアカウント内の設定変更と特定のイベントを関連付けることも可能です。

 

まとめ

AWS Config　　　　⇒　ユーザーの構成変更を確認

AWS CloudTrail　 ⇒　ユーザーの操作履歴を確認

 

 

AWSのサービスっていまや165サービスもあるので、白書なんて作ったら面白いでしょうね。