AWS SysOpsアソシエイトの対策としてAWS Configルールのトリガー指定について勉強したので備忘としてまとめます

AWS Config

AWS ConfigはAWSアカウント内のAWSリソースの設定情報などを統合的に参照できる"痒い所に手が届く"系のAWSサービスです
「設定ストリーム」で、AWSリソースの設定変更履歴をタイムライン的に参照できたり
各セキュリティグループがどのEC2に紐づいているとかが「リソース関係」ビューで確認できたりします

AWS Configルール

AWS Configでは設定履歴を参照できるだけでなく、AWSリソースが"適切に設定されているか"を評価してくれる機能もあります
その評価基準を作成するのに使用するのがAWS Configルールです

例えば、以下のようなルールを作成します

• IAMユーザーにはMFAを設定する
  
• EC2のボリュームは暗号化する
  
  

トリガーの指定

上記のようなルールを作成した上で、「どのタイミングでそのルールを評価するのか」を"トリガー"で設定します

トリガーのタイプは2種類

1. 設定変更トリガー
特定のタイプのリソースの作成・変更・削除などをトリガーに評価します
以下をトリガーに指定可能です * リソースタイプ * リソースタイプとリソースIDの組み合わせ * タグのキー/バリューの組み合わせ * 記録対象のリソースの作成・変更・削除

2. 定期的トリガー
読んで字のごとく「何時間おきにルールを評価するか」を設定します

設定レコーダーに注意

前述の通りAWS ConfigはAWSリソースの設定情報を統合的に記録・管理・参照できますが、これは「設定レコーダー」の機能によるものです
設定レコーダーを有効にしていることで、設定情報をAWSリソースの更新内容を記録してくれることで
AWS Configの各機能を利用することができます
で、この設定レコーダーはデフォルトで起動しているんですが、停止することもできてしまいます

設定レコーダーをオフにすると トリガータイプの設定変更トリガーは実行されません

※定期的トリガーは実行されます
誤って停止してしまうと必要なConfigルールの評価が検出できなくなってしまうことがありますので
少し注意が必要です