AWS Config初回設定編

Pocket

こんにちは!Tamaです!

今回はAWSリソースの状態遷移などを監視できるAWS Configの初回の設定を行っていきます。

AWS Configとは

AWS Configとは、AWSリソースの操作履歴を時系列に沿って監視管理することができるツールです。
AWS Configでは「いつ」「どこに」「どのような」変更が行われたかが分かりますが、CloudTrailと組み合わせることで「誰が」「いつ」「どこに」「どのような」変更を行ったかを可視化することが可能です。

初回設定

それでは早速「今すぐ始め」てみましょう。

手順1では記録するリソースとログの保存先、SNSでの通知、利用するIAM roleの設定を行います。

今回は以下のように設定しました。

※SNSトピックの注意書きにもあるのですがメールの通知が一気に来るので注意が必要です!
初回設定時に1リソースにつき1通ずつ通知があります(インスタンス、セキュリティグループなど)

手順2ではルールの設定を行うことができます。
今回はルールの設定は行いませんがAWS側で用意されているものを選択する他に、作成したLambda関数を指定することも可能です。

最後に設定内容を確認し確定します。

数秒程度で完了します。
※ロール作成に時間がかかり失敗することがありますが再度確認を行うことで成功するかと思います。

記録内容の確認

初回設定が完了するとダッシュボードが作成されます。
この画面では使用しているリソースのそれぞれの数量と設定したルールの状況が確認できます。

「リソース」では特定のサービスやタグなどでフィルタを掛け使用中のリソースを一覧化できます。

リソース毎の詳細画面では時系列でどのような変更があったか、リソースの構成情報、そのリソースと関連するリソースの一覧表示が閲覧できます。
EC2インスタンスであればネットワークインターフェース、セキュリティグループ、サブネット、EBSボリューム、VPC、EIPが関連するリソースとして表示されます。

また、「変更」、「Cloud Trailイベント」ではそれぞれ変更内容と変更を行ったユーザーが閲覧できます。(Cloud Trailが有効な場合)


画像はEC2インスタンスへのEBSボリュームのアタッチ

「削除されたリソースを含める」オプションを設定することで削除済みリソースの情報も閲覧することが可能です。

最後に「設定」です。
初回で設定を行った項目の設定変更が可能です。

停止したい場合、記録を止めることは可能ですがコンソールから完全に初期化は出来ませんでした。(デフォルトのレコーダーを削除できない)
本記事を作成するにあたって初期化を実施しましたがAWS CLIからであれば可能でした。
レコーダーの削除

まとめ

AWS Configでは
・時系列毎での構成情報と変更履歴の閲覧
・Cloud Trailで取得したデータと組み合わせた操作情報の閲覧
・ルールに基づいた構成の監視
が可能です。

数クリックで設定可能なAWS Config、試してみてはいかがでしょうか。

今回は以上になります!
お疲れさまでした!

次回はAWS configのルールの設定を行います。

またお会いしましょう!