この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
今回の調査テーマ
こんにちは、最近「スプラトゥーン3」の世界で戦っている、AWS事業本部コンサルティング部のこーへいです。
今回の調査テーマは「AWS Configに初めて触ってみた」です。
調査を行う目的
現在担当している案件にて「AWS Config」を使用しており、理解を深めるため実際に自分でも触ってみたいという目的です。
この記事で何がわかるか
- AWS Configの始め方
調査してみる
AWS Configを設定
AWS Configのマネージドルールにて、デフォルト以外のセキュリティグループがENIに付与されていない場合に、警告が出るように設定してみます。
- 「今すぐ始める」を選択
-
「特定のリソースタイプを記録する」→「AWS EC2 SecurityGroup」→「AWS Config サービスにリンクされたロールの作成」の順に選択する
※ロールは自動的に必要な権限が付与されたものを使用できます
-
「バケットの作成」→「S3 バケット名」を入力
「SNSトピック」のチェックを入れる→「トピックの作成」→「SNS トピック名」を入力
※手順3の設定はAWS ConfigのログをS3バケットへ格納したり、設定変更の通知などをSNS経由で発報するために用いますが、本記事では検証致しません。
-
「ec2-security-group-attached-to-eni」を選択→「次へ」を選択
※デフォルト以外のSGがEC2インスタンスなどのENIに使用されていない場合に警告が出るルールです。
-
AWS Configの設定を確認できるので問題なければ、確認を押す
ルールの警告を表示する
-
下記画像の2つのSGはどちらもENIに付与されていませんが、一方はVPC作成時にデフォルト作成されるSGで、もう一方は私が作成したSGです
-
AWS Configのルールを確認してみると、先ほど設定したマネージドルールのコンプライアンスが「非準拠」と警告が出ています
-
そして私が作成したSGを削除し、デフォルトのSGを残します。こうすることでENIに付与されていないデフォルト以外のSGは無くなりました
-
もう一度ルールを確認してみるとコンプライアンスの表示がなくなりました!
きちんとルールが適用されているのを確認できます
さいごに
今回は最低限の設定のみを行いましたが、他にも様々なマネージドルールやカスタムルールを適用できます。
また他にも下記のようなことも行えます。
- SNSを使用しAWS Configの通知を発報
- S3でログを保存
- ルールに準拠しない設定を「AWS System Manager Automation」が自動的に修復
色々カスタマイズしがいがあって便利なサービスなので、導入を検討してみてはいかがでしょうか?
5
