AWS Config が Amazon SageMaker、 Amazon Route 53、Amazon EKS、AWS Glue などを含む、20 のリソースタイプに対応しました。
https://aws.amazon.com/jp/about-aws/whats-new/2022/08/aws-config-supports-20-new-resource-types/
本アップデートにより、これまでよりもより多くのサービスに対して、AWS Config による設定情報のモニタリングが可能になります。
以前、2022年6月にもConfigによるアップデートの発表がありましたが、さらに新たなサービスが追加になりました。
AWS Configとは
AWSコンフィグとは、AWSリソースの設定から、AWSリソースの構成情報のスナップショットを取得し、管理するサービスです。
この構成情報を元に、現状のAWSリソースの設定が、利用者によって定義された正しい状態になっているか評価します。
AWSリソースの設定変更の記録を行い、その設定に対し問題がないかチェックし、問題がある場合はメール通知や修正対応ができます。
以下のことに対応ができます。
・AWS リソースの設定が最適な設定であるかどうかを評価する。
・AWS アカウントに関連付けられているサポート対象リソースの現在の設定のスナップショットを取得する。
・アカウント内にある 1 つ以上のリソースの設定を取得する。
・1 つ以上のリソースの設定履歴を取得する。
・リソースが作成、変更、または削除されるたびに通知を受け取る。
・リソース間の関係を表示する (特定のセキュリティグループを使用するすべてのリソースを確認する場合など)。
また、AWS Configでチェックした結果については、S3バケットに定期的に送信し、Amazon SNS トピックから通知を行います。
AWS Confiigをはじめるには
(1)AWSマネジメントコンソールより、「今すぐ始める」または「1-Clickセットアップ」を選びます。ここでは、「今すぐ始める」を選びました。
(2)「設定」から「全てのリソースを記録」するのか「特定のリソースを記録」するのかをまず選びます。
あとは、ロールを作成するのか、既存のロールを使うのかを選びます。
配信方法についてもバケットを新規作成する(デフォルトでは、config-bucket-AWSアカウントID12桁)のか既に作成済のバケットを選びます。
Amazon SNSトピックについては、デフォルトでは通知設定がないので、通知の設定へチェックを入れます。
(3)どのようなリソース変更のルールで通知を受け取るかルールを選択します。
AWSマネージド型ルールは2022年8月時点で東京リージョンでは、143個あります。
(4)今までの設定内容を確認して、設定が開始できます。
今回のアップデートで 新しくサポートされたリソースタイプについて
新たにサポートされるリソースタイプは以下のとおりです。
以前からすべてのリソースタイプを記録するように AWS Config を設定してしていた場合、以下の新たなリソースは自動的にアカウントに記録されます。
1.AWS::EC2::TransitGatewayRouteTable
2.AWS::EC2::TransitGatewayAttachment
3.AWS::KMS::Alias
4.AWS::GlobalAccelerator::Listener
5.AWS::GlobalAccelerator::EndpointGroup
6.AWS::GlobalAccelerator::Accelerator
7.AWS::SageMaker::NotebookInstance
8.AWS::SageMaker::NotebookInstanceLifecycleConfig
9.AWS::SageMaker::EndpointConfig
10.AWS::Glue::Job
11.AWS::DMS::ReplicationInstance
12.AWS::DMS::ReplicationTask
13.AWS::DMS::Certificate
14.AWS::Athena::WorkGroup
15.AWS::Athena::DataCatalog
16.AWS::Detective::Graph
17.AWS::SES::ConfigurationSet
18.AWS::EKS::FargateProfile
19.AWS::Route53::HostedZone
20.AWS::Route53::HealthCheck
AWS Configを使うときに気をつけること
AWS Configそのものは、 AWS リソースの変更やリソース間の関係性も履歴に残すことができるので、変更管理ツールとしてとても便利に簡単に使えます。
とはいえ、ルールに非準拠があったときに、通知や自動での修復がされるので
ルール適用外の状況であるコンプライアンス違反を未然に防ぐものではないということです。
