この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ちゃだいん(@chazuke4649)です。
SSM Quick Setup で Configの記録/適合パックが AWSアカウント単位/Organizations全体で 超カンタンにデプロイ可能になりました!(全リージョン対応)
クイックセットアップで 組織全体での AWS Config の記録とコンフォーマンスパックのデプロイを容易に有効化
本日、AWS Systems Manager 高速セットアップで AWS Config がサポートされるようになり、AWS Config を使用して数回のクリックだけで組織内のすべてのアカウントとリージョンでコンフォーマンスパックを記録およびデプロイできるようになりました。高速セットアップでは、組織単位 (OU) のグループごとに記録するリソースのタイプとデプロイするコンフォーマンスパックをカスタマイズすることもできます。
どういうこと?
AWS Systems Manager Quick Setup(以降SSM Quick Setup)は、主に他SSM機能をスピーディに設定できるSSM内の1つの機能です。昨年のアップデートで Organizations と連携できるようになり、よりカバーするターゲットの対象が増えましたが、今回待望のConfig 記録と適合パック(Conformance packs)をサポートし、それらをOrganizations全体や、特定のOUs、特定のAWSアカウントに適用できるようになりました。
これ超便利だと思います!
何が嬉しい?
今まで
Config記録の全リージョン・複数アカウント有効化はコンソール操作での対応はかなり大変でした。なのでスクリプトやIaCツールを使い効率化することが現実的でした。
これから
SSM Quick Setup を使えば、これらツールを使わずにコンソール操作でとってもカンタンに(しかも柔軟に)Config記録や適合パックを希望する対象に適用することができるようになりました。
やってみた
1. 設定する
とりあえずやってみたいと思います。
まずは、SSMコンソールを開き、高速セットアップ(Quick Setup)を選択します。
新しい設定を作成します。
今回はConfig 記録を有効化したいので、[Config Recordings]を選択します。
ちなみに現時点ではご覧の通り、
- Host Management
- Config Recordings
- Conformance Packs
- Change Manager
- DevOps Guru
- Disributor
これらのサービス・機能が選べるようになってます。
次に、Config記録の具体的な設定を行います。
まずは「対象のAWSリソース」について、今回は対象を絞り、ConfigCompliance と CloudTrail Trails のみに絞ってみます。
ちなみに、[All supported resource types in this region]を選ぶと、サポートされる全てのAWSリソースが対象となりますが、[Include global resources]をチェックすると、下図の通り グローバルサービスの記録は代表1つのリージョンのみ限定することができます。これはConfigのベストプラクティスである「IAMなどのグローバルサービスは記録を重複させず1つの代表リージョンのみとする」を実現する機能です。配慮が行き届いてますねぇ。
次に以下の設定項目は基本デフォルトで進めます。
- Delivery settings: 設定のスナップショットを格納するS3バケットを新規で作成するか、既存バケットを指定するか選べます。今回は新規作成を選択。
- Notification options: 重要なConfigイベントを通知するか選べます。今回は無しとします。
- Schedule: Quick Setupの設定単位で適用する頻度を選べます。DefaultのApply Onceを選びます。
続いて、ターゲットのセクションとなります。
ここでは、
- Entire organizations: Organizationsに属する全てのOUsと全てのリージョン
- Custom: Organizationsの特定のOUs/AWSアカウント x 特定のリージョン
- Current account: 現在のAWSアカウントの 現在のリージョン or 特定のリージョン
からターゲットを選ぶことができます。
とても柔軟に選べます。
例えば、Customを選択し、特定のOUのみ選び、それらの全リージョンに適用する場合は以下となります。
あるいは、Current accountを選択し、Current Region(今回だと東京リージョン)を選択することもできます。今回はこちらで進めます。
具体的な設定は以上となります。本内容で実行します。
2.確認する
実行ボタンを押すと、設定反映の進捗状況をモニタリングすることができます。
完了すると、以下の通り設定の反映が成功したことがわかります。
先述ご紹介のブログにて解説されていますが、Quick Setupは内部的にCloudFormationテンプレートを生成し実行しています。
CloudFormationコンソールを見にいくと、確かにCloudFormationスタックが作成されていました。
ちなみに、Quick Setupの設定は削除することができますが、この設定を削除するとCloudFormationスタックも削除されていました。
3.確認する(Organizations全体x全リージョン)
ちなみに、せっかくなので「ターゲット」の部分で、[Entire organizations: Organizationsに属する全てのOUsと全てのリージョン]を選んだバージョンも、実行してみました。
完了時間には少し時間がかかりましたが、最終的に以下の通り、成功しました。
4.確認する(各設定のリスト画面)
ちなみに、1回目の設定(1アカウントだけ)と、2回目の設定(Organization全体)は、Quick Setup のリスト画面にて、以下の通り確認・管理することができます。
検証は以上です。
終わりに
これは超便利だと思います。SSMのダークホース的機能 Quick Setup、ここに来てかなり存在感を出してきました。まだまだサポート対象を広げていくようなので、今後にも期待です!
それではこの辺で。ちゃだいん(@chazuke4649)でした。
参考情報
AWS Config recording - AWS Systems Manager
[新機能] Systems Manager Quick Setup ですばやく設定可能になりました! | DevelopersIO
[アップデート] Systems Manager Quick Setup が Organizationsと連携!簡単に可視化/管理を行えるようになりました | DevelopersIO