Config Rulesが激安になるのでみんな使ったほうが良いRuleを紹介します！

こんにちは、臼田です。

皆さん、AWS Config使ってますか？

AWS Config自体は全てのユーザーが使っているサービスだと思います。各種リソースの設定変更を記録できて、例えば、いつどのようにSecurity Groupを変更したか、いつEC2を立ち上げたか、時系列で確認することができるので使わない手はないサービスです。弊社ではデフォルト有効化しています。

しかし、AWS Configに付属するサービスであるConfig Rulesはなかなか「みんなが使っている」というものではなかったです。

その理由はなんと言っても価格！1ルールあたり月額$2.00という決して安くない価格にありました。機能は良いんですけどね！

でもそれが激安になるなら、話は別です。使いましょう、Config Rules！

今回新しいConfig Rulesの料金体系が発表されました！

New – Updated Pay-Per-Use Pricing Model for AWS Config Rules | AWS News Blog

この新しい料金体系について紹介しつつ、Config Rulesはどんな機能なのかというおさらいとみんな使ったほうが良いオススメRuleを紹介します！

料金体系について

元々Config Rulesは設定したルールあたりの費用が月額$2.00からとなっています。詳細はこちら

1つだけならあまり高いとは感じないかもしれませんが、ルールは詳細な1つの項目を監視するための設定で、実際には沢山設定することになります。

例えばAWSから提供されているマネージドルールだけで84種類あり、自作のLambda関数と組み合わせたカスタムルールも用意すればてんこ盛りです。

これまでは月額固定の料金体系でしたが、2019/08/01より評価回数ベースの料金体系に変更になります。実は発表されただけでまだ既存の料金体系なので注意してください。

新しい料金は評価回数あたり$0.0010からとなります。2,000回実行したら今と同じ料金になる計算です。

では評価回数って何なの？となるかと思いますが、Config Rulesは評価を行う方法が下記の2種類あります。

• 定期的な実行(24時間毎、1時間毎等)
• (対象リソースの)設定変更時

前者はわかりやすく、例えば1時間毎の実行なら30日で720回の評価を行うことになり、月額およそ$0.72のように既存の半分以下になったりします。

さらに後者は、固定的に算出は難しいですが、例えばSecurity Groupの設定を監視していて、その環境がすでにリリースされてあまり変化がなければ月に全く評価されないという場合も考えられます。その場合は月額$0となることでしょう。たとえオペレーションで10回変更しても$0.01で済みます。実に現状の1/200の料金です！

特に変更が頻繁にないけど、あるとすごく困る項目を変更監視する場合にはめちゃくちゃメリットがある料金体系であると感じます！

これまで問答無用で$2.00取られていたのが評価回数による従量となったのでユーザとしても納得感がある形になったと言えるのではないでしょうか？

これは2019/08/01が待ち遠しいですね！

Config Rulesとは

Config Rulesについて馴染みがない方もいらっしゃるかもしれませんので簡単に説明します。

AWS Configは各種設定を記録するサービスですが、Config Rulesはその設定にルールを設けて、適切にルールを守っているか自動的に確認するサービスです。

例えば、Security GroupでSSHをフルオープンにしていないか、S3バケットを公開していないか、などがあり詳細は下記ブログが参考になります。

AWS Config Rulesのマネージドルールでセキュリティグループをチェックしよう

【アップデート】AWS Config RulesでS3のパブリックへの公開をチェックできるようになりました！！

AWS環境を一人ですべて管理する場合はまだしも、色んな人が使う場合にはIAMのアクセス制限を厳密にしたり、ルールを的確に厳守させることにも限度がありますので、仕組みで異常に気づけることは大切です。

先述の通りAWSからよく使われるルールとしてマネージドルールが沢山提供されていますので、これらを使ってAWSの管理コストを下げることができるでしょう。

みんな使ったほうが良いRule

さて、ここからが本題です。マネージドルールの中でも特にほとんどのユーザが使ったほうが良いサービスを紹介していきます。

ちなみに一覧は→ AWS Config マネージドルールのリスト - AWS Config

コンピューティング

文句なしにこの2つです。

• restricted-ssh
• restricted-common-ports

上記ブログでも紹介されていますが、0.0.0.0/0からのsshや指定のTCPポートを開放している場合に引っかかります。

特に検証環境とかでうっかり全開放されがちなので絶対使いたい一品。やられるのは一瞬ですから、常に監視しておきたいです。

このRuleは設定変更時がトリガーなので、コスパがめちゃくちゃ良くなることが期待できます。

セキュリティ

なんと言ってもGuardDutyです。

• guardduty-enabled-centralized

こちらは単純にGuardDutyが有効になっているか確認するものです。必ず全アカウント・全リージョンで有効化しましょう。

その理由は下記参照です。

【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ

その他

他にもいっぱい良いルールはあります。

VPCフローログの有効化確認やdefaultセキュリティグループの設定確認、rootアカウントやIAMの各種設定、MFA確認、S3パブリックの確認等々…

しかしながら、これらはConfig Rulesではなくても確認できます。

例えば、弊社提供のinsightwatchなら無料でチェックできちゃいます。なので、Config Rulesよりもお得ですね。

もちろんConfig Rulesによる検知から自動アクションを実行したりする場合には有効ですので、用途に合わせて選択してください。

まとめ

これまで価格がネックになっていたConfig Rulesが大幅に価格改定があり、より適切で使いやすくなります。

2019/08/01からであることには留意しつつ、この機会に良いマネージドルールの有効化を検討したり、カスタムルールを活用してAWS環境を健全に保つ仕組みを作ってみるのはいかがでしょうか？