【アップデート】AWS ConfigがCloudWatch Alarmに対応しました!!!

2017.06.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Config芸人の森永です。

AWS Configが新たにCloudWatch Alarmに対応しました!

AWS Config Supports Amazon CloudWatch Alarms and Additional Rules

現在(2016/6/13)対応しているリソース

はじめにAWS Configで構成情報を取得できるリソースをまとめておきます。
リリース当初は少なかった対応リソースも相当増えましたね!!

AWS Service Resource Type Resource Type Value
AWS Certificate Manager Certificate AWS::ACM::Certificate
AWS CloudTrail Trail AWS::CloudTrail::Trail
Amazon CloudWatch Alarm AWS::CloudWatch::Alarm
Amazon Elastic Block Store Amazon EBS volume AWS::EC2::Volume
Amazon Elastic Compute Cloud EC2 Dedicated host AWS::EC2::Host
EC2 Elastic IP (VPCのみ) AWS::EC2::EIP
EC2 instance AWS::EC2::Instance
EC2 network interface AWS::EC2::NetworkInterface
EC2 security group AWS::EC2::SecurityGroup
Amazon EC2 Systems Manager Managed instance inventory AWS::SSM::ManagedInstanceInventory
Elastic Load Balancing Application load balancer AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Identity and Access Management IAM user AWS::IAM::User
IAM group AWS::IAM::Group
IAM role AWS::IAM::Role
IAM customer managed policy AWS::IAM::Policy
Amazon Redshift Cluster AWS::Redshift::Cluster
Cluster parameter group AWS::Redshift::ClusterParameterGroup
Cluster security group AWS::Redshift::ClusterSecurityGroup
Cluster snapshot AWS::Redshift::ClusterSnapshot
Cluster subnet group AWS::Redshift::ClusterSubnetGroup
Event subscription AWS::Redshift::EventSubscription
Amazon Relational Database Service RDS DB instance AWS::RDS::DBInstance
RDS DB security group AWS::RDS::DBSecurityGroup
RDS DB snapshot AWS::RDS::DBSnapshot
RDS DB subnet group AWS::RDS::DBSubnetGroup
Event subscription AWS::RDS::EventSubscription
Amazon Simple Storage Service Amazon S3 bucket5 AWS::S3::Bucket
Amazon Virtual Private Cloud Customer gateway AWS::EC2::CustomerGateway
Internet gateway AWS::EC2::InternetGateway
Network access control list (ACL) AWS::EC2::NetworkAcl
Route table AWS::EC2::RouteTable
Subnet AWS::EC2::Subnet
Virtual private cloud (VPC) AWS::EC2::VPC
VPN connection AWS::EC2::VPNConnection
VPN gateway AWS::EC2::VPNGateway

Supported Resources, Configuration Items, and Relationships - AWS Config

試してみる

EC2のCPU使用率でCloudWatch Alarmを作成してみます。
アクションなどは特に設定せず、5分平均が80%を5回超えたらアラートという設定にしています。
(あくまでAWS Configの検証用の値ですので設定値はしっかり検討して下さい。)

CloudWatch_Management_Console

少し待ってAWS Configで確認してみると「CloudWatch: Alarm」という項目が追加されています。
「Look up」してみると先ほど追加したAlarmがでてきました。

AWS_Config_Console 2

タイムラインも以下のようにでてきます。

AWS_Config_Console

では、設定を変更してみましょう。
閾値が5回になっているため、80%を25分ほど続けないと警告状態になりません。
閾値を1回にし、CPU使用率90%以上でアラートというふうに設定変更してみます。

CloudWatch_Management_Console 2

また少し待ってからAWS Configで確認してみます。
タイムラインに「3Changes」と表示されていることがわかります。

AWS_Config_Console 3

何が変更されたのかは「Changes」で確認することが出来ます。
「evaluationPeriods」が5から1へ、「threshold」が80から90に変更されたことがひと目でわかります。

AWS_Config_Console 4

最後に

CloudWatchのAlarmがある時から全然通知こないんだけど…といった場合にAWS Configを有効すれば簡単に履歴を追うことが出来ます。
Config Rulesのマネージドルールも追加されているようなのでそちらも検証してみますね。

AWS Configは有効化しましょう!!!!