はじめに
AWS SOAのラボ試験対策の備忘録として投稿します。
今回はVPCフローログが設定してあることを確認するConfigルールの設定、フローログを作成していきます。
ついでにフローログの送信先となるS3バケットも作成していきます。
Configルールの作成
-
Configコンソールに移動し、「ルール」→「ルールの追加」をクリックする
-
ルールタイプの指定をする
- ルールタイプの選択 → AWSによって管理されるルールの追加
- AWSマネージド型ルール → vpc-flow-logs-enabled
-
ルールの設定をする
- 名前 → vpc-flow-logs-enabled
- その他デフォルト
-
設定の確認をしてルールを追加する
-
Detective complianceを確認する
→ルールに準拠していないVPCがあると非準拠リソースとして表示される
VPCフローログを作成する
フローログ送信用のS3バケットを作成する
-
S3コンソールに移動し、バケットを作成する
-
バケットの設定をする
- バケット名 → my-configbucket
- AWSリージョン → us-east-1
- オブジェクト所有者 → ACL無効
- パブリックアクセス → パブリックアクセスをすべてブロック
- バージョニング → 無効にする
- 暗号化 → 有効にする/SSE-S3
- オブジェクトロック → 無効にする
-
バケットが作成されました
ルール非準拠VPCのフローログを作成する
-
作成したConfigルール[vpc-flow-logs-enabled]の画面に移動し、フローログを作成したいVPCを選択する
※非準拠リソースは2つあるが今回は1つだけ作成
-
詳細が表示されたら「リソースの管理」をクリックする
-
VPCの画面に遷移するので、「アクション」→「フローログを作成」をクリックする
-
フローログの設定をしていく
- 名前 → my-flow-log-01
- 送信先 → Amazon S3バケットに送信
- S3バケットARN → arn:aws:s3:::my-configbucket (さっき作成したバケットARN)
- その他デフォルト
-
フローログが作成されました
Configルールの再評価
-
Configコンソールに戻り、ルールの再評価を行う
-
非準拠リソースが1つ減った!!
-
詳細を確認しても、非準拠リソースがなくなってます
無事フローログの確認Configルールとフローログの作成が完了しました!!!
おわりに
Configルールは他にもいっぱいあるが、選べば説明文も出てくるから何とかなりそう
ただ英語だから読み取れるかどうか、、