この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンバンハ、千葉(幸)です。
AWS Config 適合パックでタイムラインの機能が使用できるようになりました!
準拠状況を時系列で確認できるようになったので、管理が捗りますね。
新しく登場した「適合パックのタイムライン」
AWS Config 適合パックは、 Config ルールと修復アクションをテンプレートで定義し、一括で管理できる仕組みです。
デプロイされた Config ルールが各種リソースに対してコンプライアンスの準拠状態を確認し、準拠 / 非準拠 / データ不足 といった振り分けを行います。
今回のアップデートにより、適合パックのタイムラインが確認できるようになりました。
以下のように、適合パック内の Config ルールの準拠状況を時系列で表示してくれます。
タイムラインの詳細をクリックすることで、変更のあったルールの詳細を確認できます。
便利ですね。
コンソールの Config ルールの画面から過去の履歴を追う、ということは今も昔もできません。「あれ?いつの間にか非準拠になってる!」というケースがあったとして、これまではそれを追跡するのにイベントの発生を遡ったりリソースの変更状況を確認したりと遠回りをする必要がありました。
今後はこのタイムラインを使用すれば簡単に確認ができます。適合パックを使用している環境では管理が捗りますね。
やってみた
以下のアップデートを試した際にすでにデプロイした適合パックがあるため、それをそのまま使用します。
こちらのテンプレートで、手動でのチェックを行うルールを含んでいます。
適合パックの画面から新しく増えた「適合パックのタイムライン」を押下します。
デプロイしたのは 2020年12月ですが、タイムラインの機能が実装されたのが最近のため、2021年3月26日から記録が始まっています。
Config ルールについて、以下の操作を行いました。
- 1つのプロセスチェックルールを「準拠」に手動で変更
- 1つのルールをリソースを修正して「準拠」に遷移
しばらくするとタイムラインに反映されます。
詳細をクリックすると、どのルールの状態が変更されたのかと、変更前のステータスが何であったのかが確認できます。
便利だ……。
リソースのタイムラインもすごかった
今回のアップデートの確認をしている中で気づいたのですが、リソースのタイムラインもいつの間にかリッチになっていました。
以下の2021年1月のアップデートによるものかと思います。
リソースの画面から特定のリソースを選択し、「リソースタイムライン」を押下します。ここでは S3 バケットを選択しています。
以下の情報が一つのタイムライン上で確認できます。
- Config ルールへの準拠状況
- 設定変更の内容
- 関連する CloudTrail イベント
例えば「ルールのコンプライアンス」を確認すれば、関連するルールの一覧と準拠状況が確認できます。
「設定変更」からは変更前後の差分が確認できます。以下はバケット ACL を変更したことを表します。
関連する Trail イベントも表示してくれるので、過去に遡って確認するのに便利ですね。
終わりに
Config 適合パックのタイムラインについての確認でした。
今回は単一のアカウントで実施していますが、Config ではアグリゲータを使用して複数アカウントのデータを集約することができます。そういった環境でタイムラインを組み合わせるとより一層管理が捗りそうです。
Config のコンソールはちょくちょく UI が変わっている印象があるので、今後もこういった便利機能の搭載に期待です。
以上、千葉(幸)がお送りしました。
5
