AWS Configで特定のリソースだけ記録できるようになりました!
森永です。
AWSの構成管理、変更管理が出来るAWS Configで特定のAWSリソースだけ記録ができるようになりました! ひゃっほい!
AWS Configで記録できるリソース
Configで記録できるリソースは以下のとおりです。
- Amazon EC2
- EC2 インスタンス
- EC2 ネットワークインターフェース
- EC2 セキュリティグループ
- EC2 Elastic IP
- Amazon VPC
- カスタマーゲートウェイ
- インターネットゲートウェイ
- ネットワークACL
- ルートテーブル
- サブネット
- VPC
- VPNゲートウェイ
- VPN接続
- Amazon EBS
- EBSボリューム
- AWS CloudTrail
- Trail
今まではConfigの機能をONにすると全てのリソースについて記録を行っていました。
Configというサービスは一回の記録につき料金が発生するため、頻繁に変更が加わる環境では使用しづらいという面がありました。
特定のリソースだけ記録する
今回のアップデートで特定のリソースだけ記録するということが出来るようになりました。
早速設定してみましょう。
Configの管理画面に行きます。
既にONにしている方は下の画面が出ますので、画面右上の歯車をクリックします。 初めて使われる方はお馴染みの「Get Started Now」をクリックして下さい。
S3バケットやSNSの設定の上に新たに「Resource Types」という設定が追加されています。
ここで記録したいリソースを選択します。一つだけでも、複数でも選択可能です。
今回は「EC2: Instance」と「EC2: SecurityGroup」を選択してみます。 バケットやSNSの設定や、IAMの設定もありますが、こちらをご覧になり設定して下さい。
試しに、いろいろリソース作ってみましょう。 VPC作成
サブネット作成
インターネットゲートウェイ作成
ルートテーブル作成
EBSボリューム作成
セキュリティグループ作成
インスタンス作成
Configは定期的に構成情報のスナップショットを取得するので、コーヒーでも飲みながら少し待ちます。 今回作成したリソースには全てNameタグを設定しましたので、TagのKeyに「Name」を指定すると、作成したリソースが一覧で表示されます。
あれ?
EC2インスタンスとセキュリティグループだけ記録するように設定したのに他のリソースも表示されてしまいました。。。
ひとまず、中身を覗いてみましょう。
EC2インスタンスの項目を見てみると、変更履歴がちゃんと記録されています。
変更内容を見るとインスタンス代が無駄にかからないようすぐにStopしたことが見て取れます。えらい。 記録をしていない他リソースとの関係性もわかるようになっています。
次に、VPCの項目を見てみます。
時間軸の最初に「Stopped Recording」と出ています。
更に下には変更履歴を記録しない的なメッセージが表示されています。
変更履歴、他リソースとの関係性についてはまっさらで何も記録されていません。
どんなリソースがあるかは、関係性を見るために必要なので、記録しないリソースについても表示されるということなのでしょう。
VPCの存在が分からないと、EC2とVPCの関係性を見ることが出来ないですものね。
まとめ
今回のアップデートでリソースを限定して構成履歴を取得できるようになりました。
例えば、リリースされたら構成変更されるはずのないリソース(サブネットなどネットワーク周り)だけ記録するようにしておくと、あり得ないはずの変更がされた際に検知することが出来ます。
もしくは、セキュリティグループのみ設定しておき、テストなどで一時的に穴あけしたポートを閉め忘れた場合検知出来るようにするというのも監視ツールなどを併用することで出来るかと思います。(メールを送るだけでも有用かもしれません)
Configは把握しづらいAWSの全体構成を可視化するのに非常に役立つサービスです。
うまく使って、無駄なく安全な環境を構築しましょう。
