Amazon Web Services ブログ

AWS Config がリソースタイプによる記録の除外に対応

AWS Config は、AWS アカウント内の AWS リソースの構成変更を追跡管理するサービスです。AWS Config は、Config レコーダーを使用してリソースの変更を検出し、構成項目 (configuration items) としてキャプチャします。Config レコーダーは、AWS Config を設定した各リージョンで作成、起動されます。デフォルトでは、Config レコーダーは、AWS Config が実行されているリージョンでサポートされている全てのリソースを記録します。AWS Config は作成された各構成項目に対して課金されるので、指定したリソースタイプのみを記録するようにカスタマイズした Config レコーダーを作成することは可能でした。つまり、従来は、含まれるリソースタイプのリストを管理し、新しくサポートされるリソースタイプを AWS Config を開始するときに手動で追加する必要がありました。

本日 AWS Config は、Config レコーダーでリソースタイプを除外できる新機能の一般提供を開始します。これは、記録が不要なリソースタイプを多く持つお客様にとって特に有用になります。Config レコーダーにて、現在および将来サポートされる全てのリソースタイプを記録し続け、かつ不要なものを除外することができるようになります。

この記事では、AWS Config の構成項目の量がトップ 10 のリソースタイプを、Amazon CloudWatch を用いて表示する方法を紹介します。その後、AWS Config の Config レコーダーで特定のリソースタイプを除外する方法を紹介します。

トップ 10 のリソースタイプを表示する CloudWatch グラフを作成する

CloudWatch の Metric math では、複数の CloudWatch メトリクスをクエリし、これらメトリクスの値を評価するために数式を使用することができます。 次の手順に従って、構成項目の量が多い AWS Config リソースタイプのトップ 10 を表示する CloudWatch メトリックを作成します:

  1. CloudWatch コンソールに移動します。
  2. 左のナビゲーションメニューで、[ダッシュボード] をクリックします。
  3. [ダッシュボードの作成] をクリックします。
  4. ダッシュボードに「aws-config-dashboard」という名前を付け、[ダッシュボードの作成] をクリックします。
  5. [棒] グラフを選択します。
  6. [メトリクス] を選択し、[次へ] をクリックします。
  7. 右側のセクションで、[数式] を選択し、[空の式で始まる] を選択します。
  8. 以下の数式を入力し、[適用] をクリックします。
    SORT(SEARCH('{AWS/Config,ResourceType}) MetricName="ConfigurationItemsRecorded" NOT ResourceType="All"', "Sum",86400),SUM, DESC, 10)
  9. [ラベル] 列で、名前を「Resource Type」に変更します。
  10. 左上隅で、グラフの名前を「Top 10 Configuration Items Recorded by Resource Types」に変更します。
  11. [ウィジェットの作成] をクリックします。
  12. [保存] をクリックし、ダッシュボードを保存します。

図 1:記録された量がトップ 10 の構成項目を表示する Amazon CloudWatch のグラフ

AWS Config で記録対象から除外するリソースタイプを設定する

このセクションでは、AWS Config でリソースタイプによる記録の除外を設定し、特定のリソースタイプの記録を避ける方法について記載します。
これにより、他のサポートさている全てのリソースタイプを記録し続けながら、上記のように CloudWatch メトリックを使用して特定したものだけを除外することができます。次の手順では、Config レコーダーの設定方法を説明します:

  1. AWS Config コンソールに移動します。
  2. [設定] を選択します。
  3. [編集] を選択します。
  4. [Record all current and future resource types with exclusions] を選択します。
  5. [リソースタイプ] セクションで、プルダウンリストを選択し、AWS Config による記録から除外するリソースタイプを選択します。このリストでは、除外するリソースタイプを複数選択することができます。
    ※ ここで、CloudWatch メトリクスで確認した設定項目の多いリソースタイプを追加することができます。

    図 2:リソースタイプごとに記録を除外をするための AWS Config の設定

  6. [保存] を選択します。
  7. [一般設定] セクションの下に、除外されたリソースタイプのリストが表示されます。

図 3:AWS Config での Config レコーダーの設定

クリーンアップ

前項で作成した CloudWatch ダッシュボードを削除したい場合は、以下の手順を実行します:

  1. CloudWatch コンソールに移動します。
  2. CloudWatch ダッシュボードから aws-config-dashboard を選択し、[Delete] をクリックします。

まとめ

このブログでは、CloudWatch を使用して、構成項目の量が最も多いリソースタイプのトップ 10 を表示する方法を示しました。その後、AWS Config の新機能を使って、ビジネス要件として不要だと判断した特定のリソースタイプを記録対象から除外する方法を紹介しました。AWS Config の Config レコーダーの詳細については、「Config レコーダーの管理」を参照して下さい。

著者

Isaiah Salinas
クラウドオペレーションチームのシニアスペシャリスト・ソリューションアーキテクトです。10 年以上の AWS テクノロジーに関する経験を持ち、複雑なクラウドインフラを設計、実装、支援するためにお客様と協働しています。また、AWS のサービスを利用してどのように問題を解決するかについて議論することが好きです。

Brad Gilomen
AWS Config と CloudTrail にフォーカスした AWS CloudOps のプリンシパルプロダクトスペシャリストです。彼は、2020 年に現職になる前にも、3 年間 AWS で連邦金融企業の支援をリードした経験があります。現在、クラウドで運用しながら安全性とコンプライアンスを維持しながらリスクを低減するために、お客様と協働しています。

 

本ブログの翻訳はソリューションアーキテクトの山田が担当しました。原文はこちらのリンクから参照できます。