AWS Config の定期的な記録を使用した設定項目の検出

AWS Config は、AWS アカウント内または AWS Organizations 全体の AWS リソースの設定変更を追跡するサービスです。AWS Config は設定レコーダーを使用してリソースの変更を検出し、それらを設定項目 (CI) として追跡します。クラウドインフラストラクチャの複雑さが増すにつれ、CI の数は指数関数的に増加しています。ワークロードは、短い間隔でリソースを作成、更新、削除することが必要であり、従来の静的なものではなく動的なものになりつつあります。過去には、設定レコーダーは継続的な記録のみをサポートしており、本番環境でない場合でも、追跡対象のリソースへの変更が発生したタイミングでそれをすべてキャプチャしていました。

この度、AWS Config の定期的な記録機能の提供を発表できることを大変嬉しく思います。この新機能により、設定レコーダーの記録頻度を日次に設定することが可能になりました。これまでの継続的な記録や設定項目の更新に代わり、過去 24 時間で変更があった場合に、リソースの最新の状態を表す設定項目が記録されるようになります。24 時間の周期内で、そのリソースタイプの定期的な記録が有効になっているリソースを作成および削除した場合は、設定項目は生成されません。定期的な記録を使用することで、すべてのリソースタイプのデフォルトの記録頻度を日次にしつつ、特定のリソースタイプをカスタマイズする設定が可能です。または、リソースタイプごとに設定することもできます。これにより、コンプライアンスやセキュリティ上の重要なリソースタイプの場合は従来の継続的な記録を使用して連続的に追跡し、本番以外のアカウント内の Amazon EC2 インスタンスなどは日次で定期的に追跡するように指定することが可能です。

定期的な記録のメリットには以下が含まれます:

コスト効率 : 日次での記録により構成変更の記録頻度が下がることで、関連コストを削減できます。定期的な記録は継続的な記録とは異なる課金体系であることに注意が必要です。詳細は AWS Config の料金ページをご確認ください。
混乱の最小化 : 定期的な記録による日次での記録は、過去 24 時間で変更があった際に設定項目が記録されるため、通知の頻度を下げてアラート疲れの回避に適した情報フローを提供します。

リソースタイプに対して定期的な記録または継続的な記録を使用するかどうかの決定にあたっては、セキュリティとコンプライアンスの要件を考慮することが重要です。リソースタイプのリアルタイムモニタリングや詳細な分析が必要な場合は、継続的な記録を使用することをおすすめします。詳細は記録頻度のページをご覧ください。

この投稿では、AWS Config の定期的な記録を開始する方法を紹介します。既存の設定レコーダーを AWS コンソールで更新して、継続的な記録ではなく定期的な記録を利用するようにします。さらに、AWS コンソールでカスタマイズ可能なオーバーライドを使用した定期的な記録のデモも行います。次に、AWS CLI を使用して、定期的な記録用に設定レコーダーを設定する例を紹介します。AWS Config を初めて設定する場合は、ワンクリックセットアップから開始してください。

AWS Config での定期的な記録の設定

既存の AWS Config ユーザーが、特定のリソースタイプで定期的な記録を利用するように設定レコーダーの設定を更新したいシナリオについて説明します。デフォルトでは、記録範囲内のすべてのリソースタイプは、定期的な記録を明示的に選択しない限り、継続的な記録が採用されます。
設定レコーダーの記録方法における記録戦略には次の 2 つのオプションがあります:

カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ : AWS Config はオーバーライドの設定で 記録から除外 に指定したリソースタイプを除く、すべての現在および将来のサポートされているリソースタイプの設定変更を記録します。AWS Config の設定レコーダーを初めて設定する場合、これがデフォルトのオプションです。
特定のリソースタイプ : AWS Config は、指定したリソースタイプの設定変更のみを記録します。リソースタイプの記録を停止することを選択した場合でも、すでに記録されている設定項目は変更されません。

既存の設定レコーダーを定期的な記録に変更するには、次の手順を参照してください。

AWS Config コンソールに移動します。
ナビゲーションペインで、設定を選択します。
編集を選択します。現在の記録戦略に応じて、ステップ 4 の「カスタマイズ可能なオーバーライドのあるすべてのリソースタイプの場合」またはステップ 5 の「特定のリソースタイプの場合」に進んでください。
記録戦略として カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ が設定されている場合は以下のとおりです。

- すべての現在および将来のリソースのデフォルトの記録頻度として、継続的な記録 または 日次記録 を選択できます。デフォルトの記録頻度は継続的な記録に設定されています。
- 特定の リソースタイプ の記録頻度を変更したり、特定のリソースタイプを 記録から除外 に指定するために、任意のオーバーライドを追加できます。

注意 : グローバルリソースタイプの IAM リソースタイプを除外するには、このバンドルタイプをリストから選択し、記録から除外することを選択してください。バンドルの詳細については、AWS Config 記録方法の設定を参照してください。

Override settings for specific resource types

図 1 AWS Config 記録方法 – カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ

現在、特定のリソースタイプ が記録戦略として設定されている場合は以下のとおりです。

- ドロップダウンを使用して、記録するリソースタイプを追加または削除できます。
- 頻度では、リソースタイプごとに連続または日次を選択できます。

Setting recording method for specific resource types.

図 2 AWS Config 記録方法 – 特定のリソースタイプ

記録戦略を更新したら、保存を選択してください。
設定の下部で、更新された設定レコーダーの設定を確認できます。

図 3 AWS Config 設定

AWS CLI を使用した既存の設定レコーダーの更新

このセクションでは、AWS CLI を使用した定期的な記録の設定の例をいくつか示します。

前提条件

AWS CLI を使用して既存の設定レコーダーを更新するには、既存の設定レコーダーの roleARN と name の情報が必要です。describe-configuration-recorders コマンドを使用して、現在の設定レコーダーの name と roleARN を調べることができます。

$ aws configservice describe-configuration-recorders

{
    "ConfigurationRecorders": [
        {
            "roleARN": "arn:aws:iam::123456789012:role/config-role",
            "name": "default"
        }
    ]
}

すべてのリソースタイプへの定期的な記録の適用

put-configuration-recorder コマンドを使用して、設定レコーダーに設定を行うことができます。この例では、更新対象のレコーダーを識別するために、前提条件のステップでメモした設定レコーダーの name と roleARN を指定しています。recording-group をすべてのサポートされているリソースに設定し、すべてのグローバルリソースタイプを true に設定しています。最後に、recording-mode において記録頻度として recordingFrequency を DAILY に設定しています。
すべてのリソースタイプに定期的な記録を適用するには、ターミナルに以下のコマンドを入力します。

注意 : name と roleARN の値を、ご利用する AWS Config の設定レコーダーの値に置き換えてください。

aws configservice put-configuration-recorder
--configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role
--recording-group allSupported=true,includeGlobalResourceTypes=true
--recording-mode recordingFrequency=DAILY

カスタマイズ可能なオーバーライドのあるすべてのリソースタイプを使用した定期的な記録の適用

すべてのリソースタイプに対して継続的な記録を行いたいが、カスタマイズ可能なオーバーライドを使用して特定のリソースタイプを定期的に記録したい場合は、recording-mode オプションを使用する際に JSON ファイルを利用して設定することができます。

注意 : name と roleARN の値を、ご利用する AWS Config の設定レコーダーの値に置き換えてください。

aws configservice put-configuration-recorder
--configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/config-role
--recording-group allSupported=true,includeGlobalResourceTypes=true
--recording-mode file://recordingMode.json

以下は recording-mode で指定している JSON ファイル file://recordingMode.json の例です。

{
    "RecordingFrequency": "CONTINUOUS",
    "RecordingModeOverrides": [
        {
            "RecordingFrequency": "DAILY",
            "ResourceTypes": [
                "AWS::EC2::Instance",
                "AWS::DynamoDB::Table"
            ]
        }
    ]
}

JSON の例では、RecordingFrequency が CONTINUOUS に設定され、継続的な記録がすべてのリソースタイプに指定されていることがわかります。しかし、EC2 インスタンスと DynamoDB テーブルの 2 つに関してはオーバーライドが定義されていて、定期的な記録が指定されています。RecordingModeOverrides を利用することで、どのリソースタイプを継続的な記録の対象外とするか指定することが可能です。
コマンドオプションの詳細については、AWS CLI コマンドリファレンスを参照してください。

まとめ

このブログ記事では、AWS Config の定期的な記録を使用して、日次でリソースの最新の構成変更をキャプチャする方法について学びました。これにより、AWS Config によって検出される変更の数を削減できます。次に、AWS マネジメントコンソールと AWS CLI を使用して定期的な記録を設定する方法を学びました。AWS Config の設定レコーダーの詳細については、設定レコーダーの管理を参照してください。