【アップデート】AWS Config Rulesに新しくマネージドルール追加、他アップデートがありました!
AWS Config芸人の森永です。
AWS Configにアップデートがありましたので早速触ってみました!
今回アップデートされた項目は以下です。
- タグ変更検知の高速化
- 新しいマネージドルールの追加
- コンソールへの項目追加
AWS Config – タグの変更検知の高速化、新しいマネージド ルール追加、およびユーザビリティの向上
アップデート内容
タグ変更検知の高速化
高速化前にどれくらいかかっていたかを記録していなかったので正確な値は分かりませんが、試してみます。
マネージドルールの「required-tags」で必須タグが付いているかどうかをチェックできます。
デフォルトで対象のリソースが複数選択されています。
今回は検証のため、VPCのみにしますが、タグ付けが必要な項目(料金発生する項目を選択するのが一般的かと思います)を残します。
「Owner」「Project」「CreatedAt」という3つのタグを付けることを必須とすることにします。
話はそれますが、「CreatedAt」などはAWS Configで管理できますのでそっちに寄せるのも手です。
「Owner」はCloudWatch Eventsで自動でつけられると素晴らしいですね。
ルールを作成したところ、私の環境に存在している3つのVPC全てでタグ付けが出来ていないようです。
では、必要なタグを付けてみます。
3つ同時ではあれなので、少し時間をずらしてタグ付けしてみました。
ひとつは、14:35くらい、残り2つは14:40前後にタグ付けしています。
結果として、5分刻みで定期的に検査が行われているように見えます。
以前はタイミングによっては10分単位で待った記憶がある(実測値ではなく個人の感想です)ので、かなり速くなったのではないでしょうか。
新しいマネージドルールの追加
新たに、「root-account-mfa-enabled」というマネージドルールが追加されました。
ルートアカウントにMFAが設定されているかをチェックするというルールです。
マネージドルール一覧に追加されています。
設定項目は特にないので、ルールを選択して作成するだけで使用できます。
私のアカウントでは問題なくMFAが設定されていることが分かりました。
ルートアカウントはなんでも出来てしまうアカウントですので、MFA有効化されていらっしゃらない方はこの機会にしておきましょう。
今後、IAMユーザのMFAの有効化判定もマネージドルールとなるといいですね。
コンソールへの項目追加
先ほどからちょいちょい写っていますが、ルールの実行結果の画面で、「ルール起動時間(開始時間)」と「ルール評価時間(終了時間)」を確認できるようになりました。
Annotations(注釈)というものも追加されたようなのですが、色々試しても「No annotation available」と表示されたので、どんなものが出るのか現状確認が取れておりません。
おそらく、カスタムルールで何かしらの注釈をつけられるということだと思います。
後日、確かめてブログを書きます。
最後に
細かいアップデートがいくつかありました。
中でもマネージドルールが増えたことは喜ばしいです。
AWS Config Rulesを使いやすくなるので、マネージドルールはどんどん増えて欲しいですね!
