[アップデート] Amazon CloudWatch のテレメトリ設定の有効化ルールを使ってアカウントや組織の VPC フローログを自動で有効化できるようになりました
いわさです。
Amazon CloudWatch にはトレース情報を一元管理するための「テレメトリ設定」という機能があります。
昨年の AWS re:Invent 2024 で登場した機能です。
テレメトリを集中管理するための機能なのですが、先日のアップデートで「有効化ルール」というものを作成できるようになりました。
本日時点でサポートされているのは VPC フローログのみですが、テレメトリ監査に必要な VPC フローログが無効化されている場合に自動で有効化させることが出来ます。
また、CloudWatch テレメトリ設定は AWS Organizations の組織内で一括で有効化することもできるので、今回のアップデートで組織全体の VPC フローログを自動で有効化できるようになりました。
今回はシングルアカウント上で有効化ルールを作成して挙動を確認してみたのでその様子を紹介します。
アカウント単体での有効化ルールの適用
本当は組織全体での有効化も試してみたかったのですが、なぜか私の環境だとテレメトリ設定有効化自体が失敗してしまいました。
というわけで、組織適用は誰かにお任せし、私は単体のアカウントで有効化ルールを試してみます。
組織設定の有効化自体は以下のブログを参考にしてください。
有効化操作
私の環境ではまだテレメトリ設定の有効化が出来ていなかったので、有効化から行います。
次のように「有効化ルール」というタブがあるのでそちらで有効化ルールを管理します。
ルールを追加しましょう。
本日時点で選択できるのは以下の EC2 VPC の「ログ」のみです。
UI 的にはいくつかのデータソースから選択できる感じなので、もしかすると今後 X-Ray の有効化ルールとかも追加されるかもしれないですね。
有効化ルールは全適用もできるのですが、タグを指定して適用対象をフィルタリングすることも出来ます。
例えば運用環境だけ VPC フローログを有効化するとか、そういった使い方が出来ます。
CloudWatch ロググループの設定もここで行います。ロググループ名と保持期間を設定します。なお、VPC フローログになるので料金は Vended Logs です。(S3 と通常の CloudWatch Logs の中間くらいの料金)
フローログ構成もここで選択します。
例えば Reject だけ記録するとか、10 分単位で集計させる、特定フィールドのみ記録させるなどが可能です。
最後に確認画面で確定すると有効化ルールが作成されます。
CloudWatch テレメトリ設定の実体としては AWS Config のサービスリンクレコーダーなのですが、従来のテレメトリ設定有効化時は internal で作成されていましたが、今回作成されたものは PAID でした。
以下に記載されていますが、PAID の場合は Config の記録料金発生対象になりますのでご注意ください。
有効化ルール作成後に VPC を作成する
有効化ルールを作成出来たので、新しく VPC を作成しましょう。
作成直後は VPC フローログが構成されていない状態だったのですが、少し待つと自動で次のように VPC フローログ設定が追加されていました。
また、さらに待つと既存のいくつかの VPC(デフォルト VPC 含む)にも VPC フローログの設定が追加されていることを確認しました。
有効化ルールの削除
有効化ルールは以下からいつでも削除できます。
削除すると Config のサービスリンクレコーダーも自動削除されました。記録料金が気になる場合は削除しましょう。
有効化ルールの削除後も、既存 VPC の VPC フローログ設定や CloudWatch Logs ロググループは残ったままになりますので必要に応じて手動で無効化や削除が必要です。
さいごに
本日は Amazon CloudWatch のテレメトリ設定の有効化ルールを使ってアカウントや組織の VPC フローログを自動で有効化できるようになったので試してみました。
ルール作成も簡単ですし良いですね。
組織設定の場合だとさらにルールのスコープとして OU やそれぞれのアカウントを指定することもできます。
アカウントや組織で VPC フローログをデフォルトで有効化させたい時に使ってみてください。