tsumiki-media logo

tsumiki-media

AWSサービス比較2025/8/12
約14分
上級+
8/10
AWSSCSC02サービス比較Config

AWS SCS-C02 対策 Config vs Systems Manager vs Control Tower

AWS の管理・ガバナンスサービスを完全攻略。Config、Systems Manager、Control Towerの違いと使い分けを、AWS Security Specialty資格試験の実践問題で効率的に習得します。

この記事のポイント

  • 1
    3つの管理サービスの基本的な役割の違いを理解する
  • 2
    各サービスが管理する対象と範囲を把握する
  • 3
    資格試験で頻出する管理・ガバナンスシナリオを攻略する

目次

各サービスの管理対象と特徴

AWSの管理・ガバナンスサービスは、それぞれ異なる管理レイヤー動作します。

Config「リソース設定」、Systems Manager「OS・アプリケーション」、Control Tower「マルチアカウント環境」の管理に特化しています。

資格試験では、「何を管理したいか」「どのレベルで制御するか」から適切なサービスを選択することが重要です。

AWS Config

主な役割
リソース設定監視
管理対象
AWSリソースの設定
コンプライアンス
設定ルール評価
自動修復
修復アクション
スコープ
単一アカウント
ユースケース
S3暗号化チェック

AWS Systems Manager

主な役割
運用管理
管理対象
EC2・オンプレミス
コンプライアンス
パッチ適用状況
自動修復
自動化ドキュメント
スコープ
単一/複数アカウント
ユースケース
OSパッチ適用

AWS Control Tower

主な役割
アカウント管理
管理対象
複数AWSアカウント
コンプライアンス
ガードレール
自動修復
予防的制御
スコープ
組織全体
ユースケース
新規アカウント作成

資格試験での選択基準

AWS Security Specialty試験では、管理・ガバナンスの要件から適切なサービスを選択する問題が頻出します。

以下のフローチャートは、問題文のキーワードから最適なサービスを選ぶための判断基準を示しています。

実践問題で理解を深める

前セクションで学んだ判断基準を、AWS資格試験対策で確認してみましょう。ここでは、Config、Systems Manager、Control Towerの使い分けが問われる代表的な問題パターンを3つのカテゴリに分けて解説します。

各問題では、要件分析から最適解の導出まで、AWS資格試験で重要な思考プロセスを体験できます。問題を解く際は、前セクションのフローチャートを参考に、管理対象、スコープ、自動化レベルの観点から分析することを意識してみてください。

AWS認定セキュリティ - 専門知識

練習問題

ある金融サービス企業が複数のAWSアカウントを持つAWS Organizations環境を運用しています。セキュリティ監査の結果、以下の問題が発見されました:1. 一部のS3バケットでパブリックアクセスブロック設定が有効になっていない 2. 一部のEBSボリュームが暗号化されていない 3. 一部のIAMユーザーが90日以上パスワードをローテーションしていない。セキュリティチームは、これらのコンプライアンス違反を自動的に検出し、修正するための戦略を実装する必要があります。また、将来的な違反を防ぐための予防策も必要です。セキュリティチームが実装すべき最も効果的な対策はどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある企業は急速に成長しており、新しいビジネスユニットごとに新しいAWSアカウントを作成しています。現在、この企業は10のAWSアカウントを持っていますが、今後12ヶ月でさらに15〜20のアカウントを追加する予定です。セキュリティチームとクラウドアーキテクチャチームは、AWS環境全体でガバナンスと標準化を強化するよう指示されました。 現在の環境: - 10の個別のAWSアカウントがあり、それぞれが手動で作成・設定されている - AWS Organizationsは設定されているが、基本的な組織構造のみに使用されている - 各アカウントのセキュリティ設定は一貫しておらず、一部のアカウントではセキュリティサービスが欠けている - コンプライアンス要件を満たすための標準化されたログ記録と監査の仕組みがない - 新しいアカウントのプロビジョニングプロセスは手動で時間がかかる CIOは、以下の目標を達成するための戦略を求めています: - 新しいAWSアカウントの迅速なプロビジョニング - すべてのアカウントにわたる一貫したセキュリティ制御の適用 - 規制コンプライアンス要件を満たすための監査機能の強化 - 手動設定エラーの削減 セキュリティとガバナンスの目標を達成し、新しいアカウントの効率的なデプロイを可能にするために、この企業はどのような方法を実装すべきですか?

AWS認定セキュリティ - 専門知識

練習問題

ある金融機関は、複数のAWSリージョンにまたがる大規模なEC2インスタンスフリートを運用しています。最近のセキュリティ監査で、複数のインスタンスに重大なオペレーティングシステムの脆弱性が見つかりました。セキュリティチームは、すべてのEC2インスタンスが最新のセキュリティパッチで常に最新の状態に保たれるようにする自動化されたソリューションを実装する必要があります。また、定期的なコンプライアンスレポートを生成し、パッチ適用状況を可視化する必要があります。 これらの要件を最小限の運用オーバーヘッドで満たす最も効果的な方法はどれですか?

まとめ

AWS Configは、AWSリソースの設定変更を継続的に監視・評価し、コンプライアンス違反を検出する「設定の番人」です。

AWS Systems Managerは、EC2インスタンスやオンプレミスサーバーのOSレベルの運用管理統合的に行う「運用の司令塔」です。

AWS Control Towerは、複数のAWSアカウントを自動的にセットアップ・管理し、ガードレールで制御する「アカウントの管制塔」です。

資格試験では、「リソース設定→Config」「OS/アプリ管理→Systems Manager」「マルチアカウント→Control Tower」いう基本パターンを押さえることが重要です。

複雑なシナリオでは、これらのサービスを組み合わせて使用することで、包括的な管理・ガバナンス体制を構築できます。

理解度チェック

Config、Systems Manager、Control Towerそれぞれの管理対象を説明できるか?

各サービスのコンプライアンス管理アプローチの違いを理解しているか?

自動修復・自動化機能の違いと適用場面を把握しているか?

マルチアカウント環境での各サービスの役割を理解しているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する