proxmox.blog

一定のタイミングで“今の全リソースの状態”をまとめて出力できる機能。定期的にスナップショットを保存しておけば、さらに昔の環境に巻き戻す参考にしたり、監査証拠として使えるんだ。

SQLっぽい構文で“今、全てのEC2インスタンスの状態はどうなってる？”なんて一気に検索できる機能。複数リソースにまたがる質問もまとめて返してくれるから、運用現場で一覧を作るのが簡単になるんだ。

複数のアカウントやリージョンのConfig情報を1箇所に集めて、一括で状況を監視する。大企業がいくつものAWSアカウントを使うときでも、集中管理できるから、全体のコンプライアンスを見落とさずにチェックできるんだ。

ルール違反が見つかったとき、自動で直す作業(例えば“公開バケットをすぐに非公開にする”)を実行してくれる。人が気づく前に問題を修正してセキュリティを保てるから、ミスを防ぐのに有効だね。

“このリソースが過去にどんな変更を受けたか”を時系列に並べて見られる画面。例えばEC2のセキュリティグループが変わった瞬間をチェックして、誰がどのルールを追加したのか確認できるんだ。

複数のルールをセットにしてポリシー集のようにし、まとめて適用できるテンプレ。業界基準や社内ルールを一気に設定して、“合っているかどうか”を管理しやすくする。大規模運用では特に便利。

“リソースはこのルールを守ってなきゃダメ”と決めておくと、それをConfigが監視して違反があれば教えてくれる。たとえば“全てのS3バケットは暗号化必須”など、セキュリティの取りこぼしを防げるんだ。

撮った記録を“どこに送るか”決める仕組み。たとえばS3バケツに保存したりSNSで通知を出したり。設定次第でいろいろな連携ができて、監査ログをまとめて保管したり警告アラートを飛ばしたりするんだ。

Configが記録をとる“カメラ”のようなもので、これをオンにしておくと指定したリソースの設定状態を自動で撮影する。止めるとログが残らないので、監査目的なら必ず動かしておきたいね。

一つ一つのリソースが“今どんな状態か”を記録する情報だね。IPアドレスやタグ、セキュリティ設定などの詳細がそこに入っていて、時間とともにどう変わったかも追えるんだ。