CloudWatch テレメトリ設定でタグベースの VPC フローログ自動設定をやってみた
こんにちは、クラウド事業本部 コンサルティング部のいたくらです。
先日 Amazon CloudWatch の新機能「テレメトリ設定の有効化ルール」が発表され、単一アカウント/ OU 単位で有効化ルールを試すブログが公開済みです。
今回は、組織全体を適用対象としつつ、タグベースで特定の VPC のみフローログを自動作成する設定を試してみました。
やってみた
タグ Key:VpcFlowlog, Value:true が付与された VPC のみにフローログを有効化する設定を試してみました。
検証環境について
AWS Organizations 構成
OU 構成は以下の通りです。
itkr_mem01 / itkr_mem03 アカウント に存在する VPC には、タグ Key:VpcFlowlog, Value:true を付与済みです。
Root
├── SandboxOU
│ └── itkr_mem02(タグなしVPC)
├─── TestOU
│ └── itkr_mem01(タグありVPC)
└── WorkloadsOU
└── itkr_mem03(タグありVPC)
1. CloudWatch テレメトリ設定を有効化する
「テレメトリ設定の有効化ルール」を使用するためには、管理アカウントでテレメトリ設定を有効化する必要があります。
有効にする手順は以下を参照ください。
2. 委任管理者を登録する
管理アカウントで、CloudWatch のサービスページ > 設定 >「組織」の順にクリックします。
少し画面が変わるので、「委任管理者を登録する」をクリックします。
委任管理者アカウント ID を入力して、「委任管理者を登録する」をクリックします。
以下のように正常に登録できれば OK です。
3. 有効化ルールを作成する
(以下、管理アカウントで実施しましたが、委任したアカウントでも実施可能です)
CloudWatch のサービスページ > テレメトリ設定 > 「有効化ルール」タブ > 「ルールを追加」の順にクリックします。
するとデータソースタイプの選択画面が表示されるので、「EC2 VPC」、設定は「ログ」をクリックします。
「範囲を指定」画面に遷移するので、以下入力して「次へ」をクリックします。
- 有効化ルール名:
(今回は自動入力されたものを使用) - ソースアカウントを選択:
組織内のすべてのアカウント - Select data source scope - オプション:
Key:VpcFlowlog, Value:true- 補足:認識しているタグがプルダウンで選べるようになっていました
- 補足:認識しているタグがプルダウンで選べるようになっていました
「送信先を指定」画面に遷移するので、以下入力して「次へ」をクリックします。
- ロググループ名のパターン:
test-cloudwatch-telemetry-vpc-flowlogs - Retention setting:
Never expire(ログの保存要件に合わせて選択してください)
「データオプションを選択」画面に遷移するので、以下入力して「次へ」をクリックします。
今回はデフォルト値で進めました。
- ログタイプ:
All - 最大集計間隔:
10 minutes - Field selection - オプション:変更なし
「プレビューと作成」画面で内容を確認して、「EC2 VPC 有効化の設定」をクリックします。
クリック後、有効化ルール(テレメトリルール)が作成されました。
4. サービスリンクレコーダーが作成されたことを確認
メンバーアカウント(itkr_mem01)にログインして AWS Config のサービスレコーダーが作成されていることを確認します。
AWSConfigurationRecorderForObservabilityAdmin_TelemetryEnablement の詳細を確認すると、最終更新日は September 19, 2025 10:43 AM となっていました。
CloudTrail のイベント履歴より、管理アカウントで有効化ルールが作成されたのが 9月 19, 2025, 10:43:26 (UTC+09:00) なので、有効化ルール作成後すぐにメンバーアカウントでサービスリンクレコーダーが作られたようです。
5. 動作確認
メンバーアカウント(itkr_mem01)にログインした状態で、VPC の詳細画面でフローログを確認します。
タグ Key:VpcFlowlog, Value:true を付与した test-vpc01 についてフローログが作成されたことが確認できました。
CloudTrail のイベント履歴より、フローログが作成されたのは 9月 19, 2025, 10:45:12 (UTC+09:00) なので、サービスリンクレコーダー作成後、約 2 分ほどでフローログが作成されたようです。
ちなみに、タグを付与していない test-vpc02 はフローログが作成されず、タグを付与した test-vpc03 はフローログが作成されたことも確認しました。
↓ test-vpc02
↓ test-vpc03
既存 VPC に対しての挙動が確認できたので、新規作成 VPC に対しての挙動も確かめます。
メンバーアカウント(itkr_mem02)にログインした状態で、新規 VPC を作成します。
以下のように、タグ Key:VpcFlowlog, Value:true を付与して作成しました。
数分待つと、フローログが作成されました。
CloudTrail のイベント履歴より、VPC 作成後、約 3 分ほどでフローログも作成されたようです。
ということで、新規作成 VPC についても、タグを付与することでフローログが作成されることが確認できました。
躓いた点
最初、2. 委任管理者を登録するを実施せずに有効化ルールを作成したところ、いつまでたっても管理アカウント/メンバーアカウントにサービスリンクレコーダー:AWSConfigurationRecorderForObservabilityAdmin_TelemetryEnablement が作成されないという現象に遭遇しました。
組織内のすべてのアカウントを対象にして有効化ルールを作成する場合は、委任管理者の登録を忘れずに実施してください。
補足:テレメトリ設定から VPC に付与されているタグを確認する方法
(以下、管理アカウントもしくは委任したアカウントで実施可能)
CloudWatch のサービスページ > テレメトリ設定 > EC2 VPC の順にクリックします。
遷移先の画面で組織内の VPC が検出されていることが確認できます。タグ列の数字をクリックすると、
以下のように VPC にどういったタグが付与されているか確認できます。
さいごに
注意点と制限事項については前述のおつまみさんのブログに記載されているため、本ブログでは割愛します。
今回は「テレメトリ設定の有効化ルール」を使用して、組織全体を適用対象としつつ、タグベースで特定の VPC のみフローログを自動作成する設定を試してみました。
この機能を使用することでタグによる柔軟な制御でフローログの有効化を自動化できるので、スクリプトを実施したり手動設定する必要が無くなります!
運用負荷軽減が期待できるので、Organizations 環境で VPC フローログの管理にお悩みの方は、ぜひ導入を検討してみてください。
この記事がどなたかのお役に立てれば幸いです。
以上、クラウド事業本部 コンサルティング部のいたくら(@itkr2305)でした!
