AWS-Config

AWSConfigを有効化する

こんにちは、インフラ課の黒瀬です。
今回はAWSConfigの初期設定をします。

AWSConfigはAWSリソースの状態が定めたルールに準拠しているか監視、確認、記録することができるサービスです。

設定内容

今回は以下の3つのルールを設定してみます。

  • インスタンスにアタッチしていないEBSがあるか
  • インスタンスにアタッチしていないEIPがあるか
  • セキュリティグループでSSHを全許可にしていないか

マネジメントコンソールからConfigを選んで[今すぐ始める]をクリックして始めていきましょう。

Configの設定を入れていきます。

  • どのリソースの設定変更を記録するか
  • 記録した設定のログ等をどこに保存するか
  • SNSトピックの登録(SNSで送信するなら)
  • Configに使うRoleを選択

基本的にデフォルトの設定のままで大丈夫です。
後からでもAWSConfigの設定から変えられます。

検索バーを使って以下の3つを追加します。

  • ec2-volume-inuse-check
  • eip-attached
  • restricted-ssh

選択したルール、設定を確認します。

以上でルールの設定は終わりです。
設定した時点から対象のリソースに変更が起こった時ルールに準拠しているかそうでないかの判定が行われます。

確認

左カラムの[ルール]からルールの状態を確認します。

現在はルール通りリソースが設定されているので準拠と表示されています。

テストのためインスタンスにアタッチされていないEIPを取得してみます。

コンプライアンスが1非準拠リソースになりました。
このようにルールに準拠していないリソースを見つけることができます。

まとめ

多人数でAWSアカウントを触るときはリソースの管理が雑になってしまいがちです。
アカウントの運用ルールを決めてルールを適切に設定することでAWSリソースの管理が楽になります。
AWSの提供するルールの中では以下のものがオススメです。

  • cloudtrail-enabled
    CloudTrailがアカウントで有効にされている
  • ec2-stopped-instance
    許可された日数を超える期間、停止しているインスタンスがある
  • restricted-ssh
    セキュリティグループのSSH全開放を検知する

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA