AWSConfigルールのトリガー指定
AWS SysOpsアソシエイトの対策としてAWS Configルールのトリガー指定について勉強したので備忘としてまとめます
AWS Config
AWS ConfigはAWSアカウント内のAWSリソースの設定情報などを統合的に参照できる"痒い所に手が届く"系のAWSサービスです
「設定ストリーム」で、AWSリソースの設定変更履歴をタイムライン的に参照できたり
各セキュリティグループがどのEC2に紐づいているとかが「リソース関係」ビューで確認できたりします
AWS Configルール
AWS Configでは設定履歴を参照できるだけでなく、AWSリソースが"適切に設定されているか"を評価してくれる機能もあります
その評価基準を作成するのに使用するのがAWS Configルールです
例えば、以下のようなルールを作成します
- IAMユーザーにはMFAを設定する
- EC2のボリュームは暗号化する
トリガーの指定
上記のようなルールを作成した上で、「どのタイミングでそのルールを評価するのか」を"トリガー"で設定します
トリガーのタイプは2種類
1. 設定変更トリガー
特定のタイプのリソースの作成・変更・削除などをトリガーに評価します
以下をトリガーに指定可能です
* リソースタイプ
* リソースタイプとリソースIDの組み合わせ
* タグのキー/バリューの組み合わせ
* 記録対象のリソースの作成・変更・削除
2. 定期的トリガー
読んで字のごとく「何時間おきにルールを評価するか」を設定します
設定レコーダーに注意
前述の通りAWS ConfigはAWSリソースの設定情報を統合的に記録・管理・参照できますが、これは「設定レコーダー」の機能によるものです
設定レコーダーを有効にしていることで、設定情報をAWSリソースの更新内容を記録してくれることで
AWS Configの各機能を利用することができます
で、この設定レコーダーはデフォルトで起動しているんですが、停止することもできてしまいます
設定レコーダーをオフにすると
トリガータイプの設定変更トリガーは実行されません
※定期的トリガーは実行されます
誤って停止してしまうと必要なConfigルールの評価が検出できなくなってしまうことがありますので
少し注意が必要です