結論
AWS Certified Cloud Practitionerの学習では、AWS CloudTrail は操作イベントの記録、AWS Config はリソース設定の記録と評価と整理すると理解しやすくなります。
どちらも「追跡」に関係するサービスですが、追っている対象が異なります。試験ではこの違いを曖昧にすると選択肢を取り違えやすいため、最初に役割をはっきり分けて覚えるのが重要です。
まずは1枚で整理
| 項目 | AWS CloudTrail | AWS Config |
|---|---|---|
| 何を記録するか | AWS上の操作イベント | AWSリソースの設定状態・設定変更履歴 |
| 典型的な問い | 誰がいつ何を実行したか | そのリソースがどう設定されていたか |
| 得意分野 | 監査、操作追跡、API呼び出しの確認 | 構成管理、変更履歴、コンプライアンス評価 |
| 試験での覚え方 | 「誰が何をしたか」 | 「設定がどうなっているか」 |
AWS CloudTrailとは
AWS CloudTrailは、AWSアカウント内で実行されたアクションをイベントとして記録するサービスです。AWS Management Console、AWS CLI、SDK、API経由の操作を追跡できます。
試験では、次のような問いに強いサービスとして出題されやすいです。
- 誰がAmazon S3バケットを削除したか
- いつEC2インスタンスを停止したか
- どのIAMユーザーやロールが特定のAPIを呼び出したか
たとえば「EC2を停止した犯人を調べたい」という要件なら、見るべき中心はCloudTrailです。操作の主体、時刻、イベント名などを確認できるためです。
CloudTrailのイベント履歴では、各リージョンの過去90日間の管理イベントを表示・検索・ダウンロードできます。試験では「操作の監査証跡」という理解が特に重要です。
AWS Configとは
AWS Configは、AWSリソースの設定内容、リソース同士の関係、過去にどのような設定だったかを確認できるサービスです。さらに、ルールを使って設定が基準に準拠しているかどうかを評価できます。
試験では、次のような問いに強いサービスとして出題されやすいです。
- このセキュリティグループは昨日どの設定だったか
- このS3バケットは暗号化ポリシーに準拠しているか
- どのリソースが社内ルールやベストプラクティスに違反しているか
たとえば「設定変更の前後を見たい」「非準拠リソースを洗い出したい」という要件なら、Configが第一候補になります。
両者の違いを具体例で理解する
例として、あるセキュリティグループでSSH用の22番ポートが 0.0.0.0/0 に開放されたケースを考えます。
- CloudTrailで分かること:誰が、いつ、その変更APIを実行したか
- AWS Configで分かること:変更前後でセキュリティグループの設定がどう変わったか、その状態がルール違反かどうか
つまり、操作の追跡はCloudTrail、設定の追跡と準拠確認はConfigです。
試験でよくある迷い方
1. 「ログを見たい」だけでCloudTrailを選んでしまう
「ログ」という言葉だけでCloudTrailに寄せると誤答しやすくなります。問題文が本当に求めているのが操作履歴なのか、構成履歴なのかを見極める必要があります。
2. Configを“誰が変更したか”まで特定するサービスだと思ってしまう
AWS Configは設定の状態と履歴を見るのが得意ですが、「誰がそのAPIを打ったか」という監査の中心はCloudTrailです。
3. CloudTrailだけでコンプライアンス判定までできると思ってしまう
CloudTrailは操作イベントの記録には強い一方で、「設定が基準に適合しているか」を直接評価するサービスではありません。コンプライアンス評価の文脈ではConfigルールを思い出すと判断しやすくなります。
試験での見分け方
- 誰がやったか、いつやったか、どのAPIか → AWS CloudTrail
- 設定がどう変わったか、過去の設定、準拠しているか → AWS Config
- 設定違反をルールで評価したい → AWS Config
- 管理コンソールやCLIの操作証跡を調べたい → AWS CloudTrail
覚え方のコツ
迷ったら次の一文で切り分けると、Cloud Practitionerレベルではかなり安定します。
- CloudTrail = 誰が何をしたか
- Config = 設定がどうなっているか
この2行を基準に選択肢を読むと、問題文の意図をつかみやすくなります。
まとめ
AWS CloudTrailとAWS Configは似て見えますが、役割は明確に異なります。
- CloudTrailは操作イベントの監査
- Configは設定状態の記録とコンプライアンス評価
AWS Certified Cloud Practitionerでは、両者を「どちらもログ系」と雑に覚えるよりも、操作と設定で切り分けて理解するほうが得点に直結します。
公式参照
- AWS CloudTrail ユーザーガイド:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
- CloudTrail イベント履歴:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html
- AWS Config とは:https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
- AWS Config の仕組み:https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html
- AWS Config Managed Rules:https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html
- AWS Certified Cloud Practitioner:https://aws.amazon.com/certification/certified-cloud-practitioner/