AWS Configとは

AWSリソースやサーバー（EC2・オンプレサーバー）の設定内容の履歴を保存するサービスです。

また、Configルールという機能があり、設定がルールに準拠しているかチェックすることができます。
（非準拠のリソースに対して修復アクションを実施することもできます。）

変更履歴・設定スナップショットはS3に保存されます。

EC２・オンプレサーバーの設定内容の履歴を保存するにはAWS SystemManagerで管理されている必要があります。

設定

AWS Configサービスより「今すぐ始める」をクリック

ステップ1:設定
[グローバルリソース (AWS IAM リソースなど) を含める]にチェック
[Amazon SNS トピックへのストリーム設定の変更と通知]にチェック

後でも設定できるので、とりあえず何も選択せずに次へ

確認ボタンを押して完了です。

しばらくするとダッシュボードが表示されます。

確認

テストで確認するためのIAMロールを作成します。
手順は割愛しますが、
ロール名：test-roll_3
ポリシー：AmazonS3ReadOnlyAccess
としました。

Configサービスのリソースメニューより、
[リソースカテゴリ]：AWS リソース
[リソースタイプ]：IAM Role
を入力して検索します。
先ほどの変更がConfigに反映されるには暫く時間がかかります。検索できない時は時間をおいて再度実行してください。

“test-roll_3″が検索されました。
リンクをクリックします。

「設定タイムライン」をクリック

ここで変更の履歴が確認できます。

“設定項目 (JSON) の表示”リンクでは設定内容を確認できます。

“CloudTrail イベント項目”ではCloudTrailのログとリンクしているので、誰がどの操作で行ったかを確認できます。

また、関連するリソースもこの画面で確認できます。

次に、先ほど作成したIAM Role（test-roll_3）を変更します。
ポリシー：AmazonS3FullAccess
へ変更しました。

暫く時間がかかりますが、ポリシーがAmazonS3FullAccessに変更された事と、以前はAmazonS3ReadOnlyAccessだったことを確認できました。