Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

AWS Configでコンプライアンス確保(後編)


前回ではAWS Configの基本的な使い方を紹介いたしました。

今回は引き続き、AWS Configのメール通知の方法や、その他の監視可能項目について記事にしたいと思います。

ステータスが変わったらメールを送信する

ステータス変更が発生した場合に、ログに残るだけでなく、メール通知をしてほしいというケースは多くあるかと思います。

そこで前回行ったElastic IPの変更監視に対し、メール送信ができるように設定を行いたいと思います。

Amazon SNSの利用設定

AWS Configでメール通知をするにはAWSのサービスの一つであるAmazon SNSを利用します。

実は前回のElastic IP変更監視設定時に、既にAmazon SNS用のtopicとして「config-topic」を新規作成してありますので、これを利用します。

Amazon SNSの管理画面からTopicsの一覧を見ると「config-topic」があるのが分かります。

config21

このリンクをクリックするとconfig-topicの詳細画面に移ります。

この中のSubscriptionsが通知先一覧ですが、なにも設定されていないので「Create Sbuscription」ボタンをクリックし通知先を追加します。

config22

通知先の設定です。今回はメールで通知を行いため、Protocolを「Email」に設定し、Endpointに通知したいメールアドレスを入力しました。

config23

通知先メールアドレス宛に確認メールが届くので、認証します。

config24

認証するとSubscriptionに今回設定した内容が追加されました。

config25

動作確認

次に、Configで変更が検知された際に、きちんとメールが届くか動作確認をしてみたいと思います。

前回同様にEC2のElastic IPを外して検知されたのを確認。

config26

メールをチェックすると以下のように7通メールが来ていました。
なお7通メールが来た理由は、設定しているElastic IPの監視フィールドが7つあるためですがこれを減らせるような設定はありませんでした。

config27

用意されている監視設定

EC2のElastic IPの監視項目を紹介しましたが、その他にも用意されている監視項目が多くあります。

項目名 内容
root-account-mfa-enabled rootアカウントに対しMFA(2段階認証)が設定されているかどうか
encryped-volumes EBSボリュームが暗号化されているかどうか
cloudtrail-enabled AWS Cloudtrailが有効になっているかどうか
eip-attached Elastic IPが関連付けられているかどうか
restricted-ssh セキュリティグループでSSH接続が不特定多数に許可されているかどうか
ec2-instances-in-vpc EC2インスタンスがVPCに設定されているかどうか
required-tags リソースに指定したタグが設定されているかどうか
restricted-common-ports セキュリティグループで着信TCPトラフィックが不特定多数に許可されているかどうか

また、上記以外にもカスタムルールというものがあり、任意でルール作成が可能です。

まとめ

2回にわたって紹介したAWS Configいかがでしたでしょうか。

確かにEC2などのサービスに直結する部分の監視は入念にするものですが、管理画面からの設定変更の監視については個人的に盲点でした。

様々なサービス展開がおこなわれているAWSを今後も追い続けたいと思います。