[アップデート] AWS Config 適合パックでコンプライアンスステータスを可視化できるタイムラインが使用できるようになりました

眺めて楽しいタイムライン

コンバンハ、千葉(幸)です。

AWS Config 適合パックでタイムラインの機能が使用できるようになりました!

準拠状況を時系列で確認できるようになったので、管理が捗りますね。

新しく登場した「適合パックのタイムライン」

AWS Config 適合パックは、 Config ルール修復アクションをテンプレートで定義し、一括で管理できる仕組みです。

aws-config-confarmance-pack-3

デプロイされた Config ルールが各種リソースに対してコンプライアンスの準拠状態を確認し、準拠 / 非準拠 / データ不足 といった振り分けを行います。

今回のアップデートにより、適合パックのタイムラインが確認できるようになりました。

以下のように、適合パック内の Config ルールの準拠状況を時系列で表示してくれます。

AWS_Config_Console

タイムラインの詳細をクリックすることで、変更のあったルールの詳細を確認できます。

AWS_Config_Console-7151019

便利ですね。

コンソールの Config ルールの画面から過去の履歴を追う、ということは今も昔もできません。「あれ?いつの間にか非準拠になってる!」というケースがあったとして、これまではそれを追跡するのにイベントの発生を遡ったりリソースの変更状況を確認したりと遠回りをする必要がありました。

今後はこのタイムラインを使用すれば簡単に確認ができます。適合パックを使用している環境では管理が捗りますね。

やってみた

以下のアップデートを試した際にすでにデプロイした適合パックがあるため、それをそのまま使用します。

こちらのテンプレートで、手動でのチェックを行うルールを含んでいます。

適合パックの画面から新しく増えた「適合パックのタイムライン」を押下します。

AWS_Config_Console-7151607

デプロイしたのは 2020年12月ですが、タイムラインの機能が実装されたのが最近のため、2021年3月26日から記録が始まっています。

AWS_Config_Console-7151723

Config ルールについて、以下の操作を行いました。

  • 1つのプロセスチェックルールを「準拠」に手動で変更
  • 1つのルールをリソースを修正して「準拠」に遷移

しばらくするとタイムラインに反映されます。

詳細をクリックすると、どのルールの状態が変更されたのかと、変更前のステータスが何であったのかが確認できます。

AWS_Config_Console-7151925

便利だ……。

リソースのタイムラインもすごかった

今回のアップデートの確認をしている中で気づいたのですが、リソースのタイムラインもいつの間にかリッチになっていました。

以下の2021年1月のアップデートによるものかと思います。

リソースの画面から特定のリソースを選択し、「リソースタイムライン」を押下します。ここでは S3 バケットを選択しています。

AWS_Config_Console-7152188

以下の情報が一つのタイムライン上で確認できます。

  • Config ルールへの準拠状況
  • 設定変更の内容
  • 関連する CloudTrail イベント

AWS_Config_Console-7152251

例えば「ルールのコンプライアンス」を確認すれば、関連するルールの一覧と準拠状況が確認できます。

AWS_Config_Console-7152359

「設定変更」からは変更前後の差分が確認できます。以下はバケット ACL を変更したことを表します。

AWS_Config_Console-7152568

関連する Trail イベントも表示してくれるので、過去に遡って確認するのに便利ですね。

終わりに

Config 適合パックのタイムラインについての確認でした。

今回は単一のアカウントで実施していますが、Config ではアグリゲータを使用して複数アカウントのデータを集約することができます。そういった環境でタイムラインを組み合わせるとより一層管理が捗りそうです。

Config のコンソールはちょくちょく UI が変わっている印象があるので、今後もこういった便利機能の搭載に期待です。

以上、千葉(幸)がお送りしました。