AWS ConfigがIAMに対応しました!!!

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも!Config芸人の森永です!!!

待ちに待っていたアップデートが来ました!!
そう!AWS ConfigがIAM(Identity and Access Management)に対応したのです!

どんどんぱふぱふ!!

AWS Configって何?という方はこちらを御覧ください。

対応したリソース

発見が早すぎたらしく公式ドキュメントがまだないですが、恐らく以下のIAMリソースに対応しています。

  • IAM User
  • IAM Group
  • IAM Role
  • IAM Policy

config02

Supported Resources, Configuration Items, and Relationships - AWS Config

早速設定してみる

設定有効化

なにはともあれ設定してみましょう。

AWS Configのコンソールへ向かいます。
Config Rulesちゃんがプレビューですよ、という文とともにIAMに対応した旨が記載されています。

config00

流石に私のブログを見ている方はAWS Configを有効化していると思いますが、まだの方は「Get Started Now」して下さい。

config03

有効化している方は歯車ボタンより設定画面へ行きます。
すると、「Include global resources」というチェックボックスが増えていることが分かります。
これにチェックを入れるだけで設定はONになります。

config01

IAMの設定を変更して動作確認

設定変更をさせて、AWS Configで見てみましょう!

Groupを作り、

config04

UserにGroupを割り当ててみました!

config05-1

さて、どうなったでしょうか!

AWS Configの管理画面の「Resources」で「User」「Group」を選択し、「Lookup」します。

config07

すると、AWSアカウント内のリソースが表示されます。
もちろん、「Include deleted resources」にチェックを入れた状態で「Look up」すれば削除されたリソースを追跡することも出来ます。

config08

変更したユーザを見てみましょう。
UIは従来のリソースと変わりませね。変更が2件起きていることが分かります。
その下に、ユーザの構成情報が記載されています。

config09

「Relationships」を見ると割り当てられているGroupが表示されています。

config10

最後に

AWS Configを監査目的で使う際にIAMに対応していないというのは非常に辛いものがありました。
今回のアップデートでIAMに対応したことで、使用する意味がかなり出てきたかなと思います。

Config Rulesが正式にリリースされたら更に面白いことが出来そうですね!