[アップデート] Amazon CloudWatch のテレメトリ設定の有効化ルールを使ってアカウントや組織の VPC フローログを自動で有効化できるようになりました

[アップデート] Amazon CloudWatch のテレメトリ設定の有効化ルールを使ってアカウントや組織の VPC フローログを自動で有効化できるようになりました

2025.08.06

いわさです。

Amazon CloudWatch にはトレース情報を一元管理するための「テレメトリ設定」という機能があります。
昨年の AWS re:Invent 2024 で登場した機能です。

https://dev.classmethod.jp/articles/reinvet-2024-cloudwatch-centralized-visibility-telemetry-configurations/

テレメトリを集中管理するための機能なのですが、先日のアップデートで「有効化ルール」というものを作成できるようになりました。

https://aws.amazon.com/about-aws/whats-new/2025/08/amazon-cloudwatch-organization-vpc-flow-logs-enablement/

本日時点でサポートされているのは VPC フローログのみですが、テレメトリ監査に必要な VPC フローログが無効化されている場合に自動で有効化させることが出来ます。
また、CloudWatch テレメトリ設定は AWS Organizations の組織内で一括で有効化することもできるので、今回のアップデートで組織全体の VPC フローログを自動で有効化できるようになりました。

今回はシングルアカウント上で有効化ルールを作成して挙動を確認してみたのでその様子を紹介します。

アカウント単体での有効化ルールの適用

本当は組織全体での有効化も試してみたかったのですが、なぜか私の環境だとテレメトリ設定有効化自体が失敗してしまいました。

image.png

というわけで、組織適用は誰かにお任せし、私は単体のアカウントで有効化ルールを試してみます。
組織設定の有効化自体は以下のブログを参考にしてください。

https://dev.classmethod.jp/articles/202412-enable-cloudwatch-telemetry-in-the-org-env/

有効化操作

私の環境ではまだテレメトリ設定の有効化が出来ていなかったので、有効化から行います。

CFED6F26-F5C7-480A-B16A-D0FF4F788263.png

次のように「有効化ルール」というタブがあるのでそちらで有効化ルールを管理します。
ルールを追加しましょう。

F739AB86-DABF-4C86-9DCC-B804014A9A22.png

本日時点で選択できるのは以下の EC2 VPC の「ログ」のみです。
UI 的にはいくつかのデータソースから選択できる感じなので、もしかすると今後 X-Ray の有効化ルールとかも追加されるかもしれないですね。

99AEF4F7-5F2A-4499-9734-503AC10057A2.png

有効化ルールは全適用もできるのですが、タグを指定して適用対象をフィルタリングすることも出来ます。
例えば運用環境だけ VPC フローログを有効化するとか、そういった使い方が出来ます。

2C5AE617-88DB-41EE-B0BB-5907CAD4E88A.png

CloudWatch ロググループの設定もここで行います。ロググループ名と保持期間を設定します。なお、VPC フローログになるので料金は Vended Logs です。(S3 と通常の CloudWatch Logs の中間くらいの料金)

2349016D-9B0B-4E4A-8A44-A2B707BFA01E.png

フローログ構成もここで選択します。
例えば Reject だけ記録するとか、10 分単位で集計させる、特定フィールドのみ記録させるなどが可能です。

0CD01A52-37EC-41BE-8AC3-E96EAE3CB1D7.png

最後に確認画面で確定すると有効化ルールが作成されます。

611AA8B3-6E3A-4D7A-ABF3-8A425F08025F.png

CloudWatch テレメトリ設定の実体としては AWS Config のサービスリンクレコーダーなのですが、従来のテレメトリ設定有効化時は internal で作成されていましたが、今回作成されたものは PAID でした。

27FC949A-225A-45D8-8BDC-C01C07D4980D.png

以下に記載されていますが、PAID の場合は Config の記録料金発生対象になりますのでご注意ください。

https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/stop-start-recorder.html

有効化ルール作成後に VPC を作成する

有効化ルールを作成出来たので、新しく VPC を作成しましょう。
作成直後は VPC フローログが構成されていない状態だったのですが、少し待つと自動で次のように VPC フローログ設定が追加されていました。

836BD06A-B44A-4EF3-B29C-583D070AE0A9.png

また、さらに待つと既存のいくつかの VPC(デフォルト VPC 含む)にも VPC フローログの設定が追加されていることを確認しました。

D0BF00B0-F13F-4B74-BB41-5097BDCAC7CA.png

有効化ルールの削除

有効化ルールは以下からいつでも削除できます。

F51E2A23-0FA2-4990-9B64-E5904331B1A9.png

削除すると Config のサービスリンクレコーダーも自動削除されました。記録料金が気になる場合は削除しましょう。
有効化ルールの削除後も、既存 VPC の VPC フローログ設定や CloudWatch Logs ロググループは残ったままになりますので必要に応じて手動で無効化や削除が必要です。

さいごに

本日は Amazon CloudWatch のテレメトリ設定の有効化ルールを使ってアカウントや組織の VPC フローログを自動で有効化できるようになったので試してみました。

ルール作成も簡単ですし良いですね。
組織設定の場合だとさらにルールのスコープとして OU やそれぞれのアカウントを指定することもできます。

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-rules.html

アカウントや組織で VPC フローログをデフォルトで有効化させたい時に使ってみてください。

この記事をシェアする

facebookのロゴhatenaのロゴtwitterのロゴ

© Classmethod, Inc. All rights reserved.