AWS Config | Amazon Web Services ブログ

AWS Trusted Advisor による運用上の優秀性の継続的な最適化

2023 年 10 月 26 日、Trusted Advisor は新しく運用上の優秀性のチェックカテゴリーを追加し、AWS Config と統合したことで、すべてのカテゴリーで合わせて 64 の新しいベストプラクティスチェックを提供しました。このローンチにより、AWS 環境の運用準備状況が改善され、Trusted Advisor チェックの適用範囲が広がり、AWS Well-Architected Framework のベストプラクティスとの整合性を高めることができます。
本ブログ投稿では、新しい運用上の優秀性カテゴリーについて詳しく説明し、Trusted Advisor が運用リスクと最適化の機会の特定にどのように役立つかをサンプルシナリオを通して説明します。

AWS Config の定期的な記録を使用した設定項目の検出

AWS Config は、AWS アカウント内または AWS Organizations 全体の AWS リソースの設定変更を追跡するサービスです。AWS Config は設定レコーダーを使用してリソースの変更を検出し、それらを設定項目 (CI) として追跡します。クラウドインフラストラクチャの複雑さが増すにつれ、CI の数は指数関数的に増加しています。ワークロードは、短い時間間隔でリソースを作成、更新、削除することを含むため、その性質上、検出されるリソース変更の数の増減は動的になっています。過去には、設定レコーダーは常時記録のみをサポートしており、本番環境でない場合でも、追跡対象のリソースへの変更が発生したタイミングでそれをすべてキャプチャしていました。この度、AWS Config の定期記録機能の提供を発表できることを大変嬉しく思います。この新機能により、設定レコーダーの記録頻度を日次に設定することが可能になりました。これまでの連続的な記録や設定項目の更新に代わり、過去 24 時間で変更があった場合に、インスタンスの最新の状態を表す設定項目が受信されるようになります。24 時間の周期内で、そのリソースタイプの定期記録が有効になっているリソースを作成および削除した場合は、設定項目は生成されません。定期記録を使用することで、すべてのリソースタイプのデフォルトの記録頻度を日次に設定し、カスタマイズ可能な上書きを行うことができます。

AWS Control Tower 環境での AWS Config リソーストラッキングのカスタマイズ

AWS の最大規模のお客様の中には、AWS Control Tower を使用して、複数アカウントの AWS 環境を管理・保護している方もいらっしゃいます。AWS Control Tower は、アカウント登録時に AWS Config を有効化し、セキュリティのベストプラクティスを実装しています。これにより、サポートされているすべての AWS リソースがモニタリングされます。
すべてのリソースをモニタリングすると、必要のないリソースのアクティビティも記録されてしまうという声を一部のお客様からいただくことがあります。本番環境において、コンプライアンス目的で必要な情報を記録することは多くのお客様にとって重要です。しかし、開発環境やステージング環境では本番環境ほど詳細にログを記録する必要はないかもしれません。その場合、記録対象から不要なリソースをフィルタリングすることは、対策となるうえに AWS Config のコストを抑えることにもつながります。