【アップデート】CloudTrailのAPI履歴からAWS Configの変更履歴にアクセスできるようになりました!

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Config芸人の森永です。
AWS Config関連のアップデートが立て続けに来て慌てています。

早速ひとつめをご紹介します。
今回のアップデートで、CloudTrailのAPI履歴からAWS Configの変更履歴にアクセスが出来るようになりました!!

AWS CloudTrail: Now access configuration history of resources referenced in your API calls

今までは

CloudTrailはAWSで呼び出されたAPIの履歴を記録するサービスです。
例えば、セキュリティグループを変更するとRevokeSecurityGroupIngressというAPIが呼びだされますが、CloudTrailを使用すると誰が、いつ、どのIPアドレスから呼び出したのかなどの情報を確認することが可能です。
が、どのように変更されたかというのはCloudTrailでは分かりません。

どのように変更されたかという情報はみんな大好きAWS Configで見ることが可能なのですが、誰が変更したのかというのはCloudTrailを見ないと分かりません。

ですので今までは、APIが呼び出された時間を確認し、AWS Configとつきあわせてどのように変更されたかを確認する必要がありました。

これからは

CloudTrailの画面からAWS Configの該当リソースの変更箇所に飛べるようになります!
これは便利!

CloudTrailとAWS Config両方有効化しておく必要があります!

見方も非常に簡単です。
CloudTrailの「APIアクティビティ履歴」から気になるAPI履歴を探します。

CloudTrail_Management_Console

該当の履歴をクリックして、API呼び出しの詳細を確認します。 この一番に下に追加された「参照リソース」というのが関連するAWSリソースで、こちらの「Configのタイムライン」からAWS Configに飛ぶことが出来ます。

CloudTrail_Management_Console 2

そのAPI呼び出しで生じた変更箇所にピンポイントで飛ぶことが出来ました!!! すごい!!!!

AWS_Config_Console

最後に

監査としてのCloudTrailと変更管理のAWS Configの親和性は非常に高く、個人的に熱望していた機能でした。 これにより一層トラブルシューティングやセキュリティ強化が簡単になりますね!

まだまだアプデ情報行きます!!