この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
Config芸人の森永です!
来ました!AWS Config Rules 東京リージョン対応です!
AWS Config Rulesとは
去年のre:Invent 2015で発表された新しいサービスで、AWS Configで記録したAWSリソースの設定を自動でチェックする事のできる仕組みです。
詳しくはこちらを御覧ください。
対応したリージョン
今回、新たに対応したリージョンは以下の4つのリージョンです。
| リージョン名 | リージョン | エンドポイント |
|---|---|---|
| US West (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com |
| EU (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com |
| EU (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com |
| Asia Pacific (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com |
これで既に対応していたバージニアリージョンと合わせて5リージョンが対応したことになります。
試してみた
使い方については既にブログがありますので、そちらを御覧ください。
今回は新たに対応したリージョンでAWS Config Rulesを使うにあたってやらなければならないことに焦点を当てます。
東京リージョンでAWS Configの管理画面を開くとこんな画面が出てきます。
「AWS Config Rulesを使えるようになったから、権限の設定を変えましょうぞ!」的な文章が表示されています。
AWS Configの設定は今までどおりで構いませんが、一番下にAWS Config Rules用のIAM Roleの設定が追加されています。
今までAWS Config Rulesを触ったことがない方は「Create a role」を選択し、お好きな名前をつけましょう。
既にバージニアで触られていた方は、Roleが存在しているかと思いますので、「Choose a role from your account」でIAM Roleを選択しても構いません。(私も既にありますが、今回は説明用に新しく作成します。)
次へ行くと、マネージドルールの中から「EBS暗号化されているか」「CloudTrailは有効か」「EIPはアタッチされているか」をチェックするものを提案されます。
CloudTrailは非常に強力なAPI証跡サービスですが、CloudTrail自体が止められていてはどうしようもないので、「CloudTrailは有効か」というルールを有効にするというのは個人的にアリだと思います。
今回は設定せずに先へ進みます。
レビュー画面が出てきますので、問題ないようでしたら「Confirm」します。
以上でAWS Config Rulesを使用する準備は完了です!
思う存分AWS Config Rulesを楽しみましょう!!!!!!
最後に
AWS Config Rulesはよ東京来い、AWS Config Rulesはよ東京来いと念じ続けてきた私ですが、念願叶いました。
TrendMicroさんがConfig Rules連携のスクリプトを公開して、DeepSecurityの状態チェック(正しくポリシーがあたっているかなど)を行っています。
AWSリソースに限らず、いろいろなリソースについてAWS Config Rulesに送信することが出来ますので、システムに関するチェック項目を一元管理なんてのもいいかもしれませんね。
2
