出典
まとめ
- AWSリソースレベルでのエンティティ設定および変更の記録、監視、通知を行うサービス
- CloudTrailで言うところの管理イベントあたりの粒度
- Webコンソールから各種リソースのCloudTrailログも確認できる
- 作成とか変更の履歴も見られる
- 監視しているリソースについては、コンプライアンスチェック等も自動でやってくれる
- ただし、お値段ちょっと高い
- 使ってないサービスのルールや、チェックの必要性が低いルールについては積極的に外しておかないと辛い
- 逆に、目視やコード管理でも見過ごしそうなものを網羅的にチェックしてもらうのには便利
- うまく使いたいところ
要点
概念
AWS Config
- AWSリソース
- ARNとかがつく、各種サービスのインスタンス、エンティティ類
- 設定履歴
- 特定期間の特定リソースに関する設定項目のコレクション
- AWS Config は、記録しているリソースタイプ別の設定履歴ファイルを、ユーザーが指定した Amazon S3 バケットに自動的に配信
- 設定項目
- AWSリソースのさまざまな属性を特定の時点で反映したビュー
- 設定項目のコンポーネントは、メタデータ、属性、関係、現在の設定、関連イベントなど
- WS Config は、記録対象のリソースタイプで変更を検出するたびに、設定項目を作成
- 設定レコーダー
- 設定レコーダーは、サポートされるリソースの設定を設定項目としてアカウントに保存
- 記録を開始する前に、設定レコーダーを作成して起動する
- デフォルトではAWS Configが実行されているリージョンのすべてのサポートされているリソースを記録
- 指定したリソースタイプのみを記録することも可
- 設定スナップショット
- 設定項目のコレクション
- 記録対象のリソースとその設定の全体像
- 設定を検証するのに役立つ
- 設定ストリーム
- AWS Config で記録しているリソースに関するすべての設定項目の自動更新リスト
- リソースが作成、変更、または削除されるたびに、AWS Config は設定項目を作成して設定ストリームに追加
- 設定ストリームではAmazon SNSトピックを使用
- 特定のリソースが変更された場合に通知を生成したり、SQSに通知を積んだりできる
- リソース関係
- アカウント内の AWS リソースを検出し、AWS リソース間の関係のマップを作成
マネージドルールとカスタムルール
- AWS Config ルールは、特定の AWS リソースまたは AWS アカウント全体の望ましい設定を表す
- 簡単に開始できるようにカスタマイズ可能な定義済みのルールが用意されている(マネージドルール)
- カスタムルールを作成することもできる
- ルールを有効化すると、AWS Config はリソースをルールの条件と比較
- この初期評価後は、評価がトリガーされるたびに AWS Config で評価が実行される
- 評価のトリガーは、ルールの一部として定義される
- 設定変更時に評価
- 定期で評価
マルチアカウント・リージョンのデータ集約
- マルチアカウント、マルチリージョンのデータ集約を使用すると、複数のアカウントとリージョンのAWS Config設定データやコンプライアンスデータを1つのアカウントに集約できる
- ソースアカウント
- リソース設定およびコンプライアンスデータの集約元となるAWSアカウント
- 送信元リージョン
- 設定データおよびコンプライアンスデータの集約元となるAWSリージョン
- アグリゲータ
- 複数のソースアカウントとリージョンからAWS Config設定データとコンプライアンスデータを収集するリソースタイプ
- AWS Config 設定データとコンプライアンスデータを表示させるリージョンでアグリゲータを作成
- アグリゲータアカウント
- アグリゲータアカウントは、アグリゲータを作成するアカウント
- 承認
- ソースアカウントの所有者として、アグリゲータアカウントとリージョンに付与するアクセス許可のこと
設定項目の配信
S3
- AWS ConfigはAWSリソースの設定変更を追跡し、更新された設定詳細を、指定されたS3バケットに定期的に送信する
- 記録するリソースタイプごとに、設定履歴ファイルを6時間ごとに送信
- 設定変更が発生しなかった場合、ファイルは送信されない
SNSトピック
- AWS Configは、指定された Amazon SNSトピックを使用して通知を送信する
- 通知のメッセージタイプについては、ここを参照