[新サービス] AWS Configを触ってみた #reinvent

ども、大瀧です。
開催中のAWSプライベートイベント、re:Inventで続々と新サービスが発表になっています(他のブログエントリーでチェックしましょう)！今回は、AWS Configという新サービスに触ってみたのでレポートします。

AWS Configとは

AWS Configは、その名前の通りAWSが提供する様々なサービスのコンポーネントの構成情報を管理するサービスです。従来からAWSには変更管理や操作証跡を取得するAWS CloudTrailというサービスがありますが、こちらはAWS APIのコールログを取得する仕組みであり、どの状態からどの状態に変更されたのかといった状態に関する情報をまとめて管理するには不向きなサービスでした。AWS Configを利用すると、AWSリソースのいわゆる履歴管理、構成管理が実現できます。

今回のリリースでは、バージニア(us-east-1)リージョンのみで提供されます。AWS ConfigはCloudTrailと同様、リージョン毎の個別管理なので、現時点ではバージニアにあるリソースのみAWS Configで管理することができます。また、管理できるリソースはEC2、VPCに関するもののみで他のサービスへの対応は順次増えていくとのことです。

初期設定

AWS Configは既定で無効になっているので、有効化して利用します。AWS Management ConsoleのAWS Config管理画面を表示すると、セットアップ画面に遷移します。

AWS Configでは、変更があったタイミングで通知するSNSトピックを設定できます。特にこだわりがなければ、今回のAWS Config用の新規トピックを作成しましょう。同様に変更履歴を格納するS3バケットも必要に応じて作成します。[Continue]をクリックします。

初めてAWS Configを利用する場合には、AWS Configが各サービスのAPIから情報を取得するための許可設定が必要です。[Allow]をクリックしましょう。

これで準備完了です！早速、構成情報の収集と変更監視が動作します。

動作確認

早速、AWSの構成変更を試し、AWS Configでの様子を確認してみましょう。初期画面では、AWSリソースの検索を行います。今回はどんなリソースがあるのか確認するため、[Lookup by Tag]を選択、[Tag Key]にNameを入力してNameタグ別に全リソースをリストしましょう。[Lookup]ボタンをクリックすると、AWS Configの管理下にある全リソースが表示されます。今回はEC2インスタンスの様子を見てみるので、インスタンスIDのリンクをクリックします。

EC2インスタンスの構成変更履歴が時系列で表示されます。以下の例では、6:44に5点、変更があるとわかります。5 Changesをクリックします。

Changesに変更項目がリストされます。今回はEC2インスタンスのPower Onを行ったのですが、それに依存するいくつかの項目も一緒に更新されているわけですね。

同じ画面には、[Configuration Details](構成の詳細)、[Relationships](関連)も確認できます。詳細は通常の管理画面の情報と同様に見えるかもしれませんが、AWS Configで追跡できる項目がここにリストされると考えると良いと思います。

ちなみにS3バケットを見てみたのですが、AWS Configの有効化直後の時点ではファイルが作成されていないようでした。ある程度の時間差で作成されるものと見ています。

まとめ

AWS Configの最初の一歩ということで、有効化と簡単な動作確認方法をご紹介しました。サードパーティーツールとの連携など、AWS Configのポテンシャルはまだまだ見えないところがありますので、引き続き触ってみたいと思います。皆さんもAWSの変更管理にAWS Configをご活用ください！

参考資料

• Amazon Web Services ブログ: 【AWS発表】AWS Configを使ったAWSリソース構成の追跡
• What Is AWS Config? - AWS Config