【アップデート】 AWS Configで21個の新しいリソースタイプがサポートされました
こんにちは!クラウド事業本部のおつまみです。
みなさん、AWS Config 使っていますか?リソースの設定変更履歴を追跡して、コンプライアンスチェックに活用されている方も多いと思います。
今回AWS Configで21個の新しいリソースタイプがサポートされました!
早速確認してみよう!とのことで、今回は概要と注目リソースタイプについてご紹介します。
3行まとめ
- AWS Configで21個の新しいリソースタイプがサポート
- EC2、SageMaker、S3 Tables、GuardDuty、IoT、Route 53などのサービスが対象
- 既に「すべてのリソースタイプを記録」設定を有効化している場合は自動的に追跡される
アップデートにより何が嬉しくなったのか
AWS Configは、AWSリソースの構成を継続的に監視し、設定変更を記録するサービスです。これにより、コンプライアンス監査、セキュリティ分析、変更管理などが可能になります。
しかし、AWS Configがサポートしていないリソースタイプについては、設定の追跡や履歴管理ができませんでした。
今回のアップデートにより、以下のメリットがあります。
- より広範なリソースカバレッジ: EC2のサブネットCIDRブロックやSageMakerユーザープロファイルなど、これまで追跡できなかったリソースの設定変更を記録可能
- セキュリティ強化: GuardDutyのマルウェア保護プランやRoute 53のDNSSEC設定など、セキュリティ関連リソースの構成管理が容易に
- 自動適用: 「すべてのリソースタイプを記録」設定を有効化している場合、これらの新しいリソースタイプは自動的に追跡対象になります
追加された21個のリソースタイプ
今回サポートされた新しいリソースタイプは以下の通りです。
| No. | リソースタイプ | サービス | 説明 |
|---|---|---|---|
| 1 | AWS::AppStream::AppBlockBuilder | Amazon AppStream 2.0 | アプリケーションブロックを作成するためのビルダー |
| 2 | AWS::DataSync::LocationEFS | AWS DataSync | EFSファイルシステムへの転送先または転送元 |
| 3 | AWS::DataSync::LocationHDFS | AWS DataSync | Hadoop分散ファイルシステムへの転送先または転送元 |
| 4 | AWS::EC2::SubnetCidrBlock | Amazon EC2 | VPCサブネットのIPv6 CIDRブロック |
| 5 | AWS::GuardDuty::MalwareProtectionPlan | Amazon GuardDuty | マルウェア保護のための設定プラン |
| 6 | AWS::IoT::BillingGroup | AWS IoT Core | デバイスの請求グループ |
| 7 | AWS::IoT::ThingGroup | AWS IoT Core | IoTデバイスのグループ管理 |
| 8 | AWS::Logs::Delivery | Amazon CloudWatch Logs | ログ配信設定 |
| 9 | AWS::Logs::DeliveryDestination | Amazon CloudWatch Logs | ログ配信先の定義 |
| 10 | AWS::Logs::DeliverySource | Amazon CloudWatch Logs | ログ配信元の定義 |
| 11 | AWS::Route53::DNSSEC | Amazon Route 53 | DNSセキュリティ拡張機能の設定 |
| 12 | AWS::Route53Resolver::OutpostResolver | Amazon Route 53 Resolver | Outpost環境でのDNS解決設定 |
| 13 | AWS::S3::MultiRegionAccessPoint | Amazon S3 | 複数リージョンにまたがるアクセスポイント |
| 14 | AWS::S3Tables::TableBucket | Amazon S3 Tables | テーブル形式データ用のS3バケット |
| 15 | AWS::S3Tables::TableBucketPolicy | Amazon S3 Tables | テーブルバケットのアクセスポリシー |
| 16 | AWS::SageMaker::AppImageConfig | Amazon SageMaker | SageMaker Studioのカスタムイメージ設定 |
| 17 | AWS::SageMaker::Domain | Amazon SageMaker | SageMaker Domainの設定 |
| 18 | AWS::SageMaker::Image | Amazon SageMaker | カスタムイメージの定義 |
| 19 | AWS::SageMaker::Space | Amazon SageMaker | SageMaker Studio内の共有スペース |
| 20 | AWS::SageMaker::StudioLifecycleConfig | Amazon SageMaker | Studioライフサイクル設定 |
| 21 | AWS::SageMaker::UserProfile | Amazon SageMaker | SageMaker Studioユーザープロファイル |
注目のリソースタイプ
AWS::GuardDuty::MalwareProtectionPlan
概要
GuardDutyのマルウェア保護プランの設定を追跡できます。
重要性
GuardDutyのマルウェア保護は、EC2インスタンスやコンテナワークロードのマルウェア検出に使用されます。
この設定の変更履歴を追跡することで、セキュリティ対策の状態変更を監査できます。
ユースケース
- セキュリティコンプライアンス監査での設定変更履歴の証跡
- マルウェア保護設定が誤って無効化された場合の検出
- 複数アカウントでの一貫したマルウェア保護設定の管理
AWS::Route53::DNSSEC
概要
Route 53のDNSSEC(DNS Security Extensions)設定を追跡します。
重要性
DNSSECは、DNSクエリとレスポンスの整合性を暗号化署名で保証し、DNSスプーフィングやキャッシュポイズニングなどの攻撃を防ぎます。
この設定の変更履歴を記録することは、セキュリティ要件において重要です。
ユースケース
- 金融機関や医療機関などの厳格なセキュリティ要件への対応
- DNSSEC設定の有効化・無効化の変更履歴管理
- コンプライアンス監査でのDNSセキュリティ設定の証明
AWS::S3Tables::TableBucket
概要
S3 Tablesのテーブルバケット設定を追跡します。
重要性
S3 Tablesは、Apache IcebergなどのテーブルフォーマットをS3上で効率的に管理するための新しいストレージクラスです。これらのリソースの設定変更を追跡することで、データレイク基盤の変更管理が容易になります。
ユースケース
- データレイクのテーブル設定変更の監査
- アナリティクスワークロードにおけるストレージ設定の変更履歴
- データガバナンス要件への対応
設定方法
すべてのリソースタイプを記録している場合
「すべてのリソースタイプを記録」を有効化している場合、追加の設定は不要です。新しいリソースタイプは自動的に追跡されます。
特定のリソースタイプのみを記録している場合
- AWS Configコンソールにアクセス
- 「設定」から記録設定を編集
- 追跡したい新しいリソースタイプを選択して保存
または、AWS CLIで設定
aws configservice put-configuration-recorder \
--configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role \
--recording-group allSupported=false,resourceTypes=AWS::GuardDuty::MalwareProtectionPlan,AWS::Route53::DNSSEC
Config Rulesでの活用
これらの新しいリソースタイプは、Config RulesやConfig Aggregatorでも利用できます。
例えば、以下のようなカスタムルールを作成できます
- GuardDutyマルウェア保護プランが特定の設定になっているかをチェック
- Route 53のDNSSECが有効化されているかを確認
- SageMaker UserProfileが特定の実行ロールを使用しているかを検証
対応リージョン
これらの新しいリソースタイプは、各リソースが利用可能なすべてのAWSリージョンでサポートされています。
注意点
コスト
- AWS Configは記録されるリソースの数と評価されるConfig Rulesの数に基づいて課金されます
- 新しいリソースタイプを追跡する場合、記録対象リソースが増えるため、コストへの影響を確認してください
- 「すべてのリソースタイプを記録」を有効化している場合、今回追加された21個のリソースタイプも自動的に追跡対象となり、該当リソースが存在する場合は記録コストが発生します
既存環境への影響
- 既存リソースへの直接的な影響はありません。
- 「すべてのリソースタイプを記録」を有効化している場合、自動的に新しいリソースタイプが追跡されます
- 大量のリソースがある場合、初回の設定記録に時間がかかる可能性があります
まとめ
今回はAWS Configの新機能「21個の新しいリソースタイプサポート」についてご紹介しました。
この機能により、より多くのAWSリソースの設定変更を追跡でき、コンプライアンス管理やセキュリティ監査の精度が向上します。
特にGuardDutyのマルウェア保護設定やRoute 53のDNSSEC設定など、セキュリティ関連リソースの追跡が可能になったことは大きなメリットです。
詳しい使い方は、AWS Configのドキュメントをご参照ください。
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
