今までスルーしてきたAWS Configの設定をようやくすることに決めたのでとりあえずメモ
AWS Config
- 現在のAWSの設定内容の保存とそこからの変更履歴を監視してくれる
- ルールを設定することができ(Config Rule)、これから逸脱するやつは検出してくれる
- 監査に最適!!
とりあえず簡単に設定してみる
Get started
Settings
- Resource types to record
- 監視対象のリソースと保存先などを設定します
- 設定しているリージョンの全操作とグローバルリージョン(IAMとか)を対象にします
- Amazon S3 bucket
- Configで取得したデータの保存先バケットを設定します
- Amazon SNS topic
- 通知用のSNSを設定します
- AWS Config role
- Configが使うためのロールを設定します
- S3へのPutObjectとSNSへのCreateTopicでよさそう
AWS Config rules
- Config rulesを設定する場合はここで「Add」にチェックを入れる
- s3-bucket-versioning-enabled:S3のバージョニングが有効になってるかどうか
- cloudtrail-enabled:CloudTrailが有効になってるかどうか
- eip-attached:使われていないEIPがないかどうか
- encrypted-volumes:EBCボリュームが暗号化されているかどうか
- root-account-mfa-enabled:RootアカウントでMFAが有効になっているかどうか
Review
- 登録した内容の確認
- 今回はConfigRulesに3つチェック入れました
- OKなら「Confirm」をクリック
作成後
- Rulesに追加する
- 「Add Rules」で色々追加できそう
終わりに
- とりあえず今回はここまで
- 「Add Rules」に色々追加して、追記予定