awsbasics.connpass.com
監査系に利用する AWS Config の回です。
セッション
AWS Config
講師:アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏
AWS Config
- Config
- AWS リソースに対して継続的に監査
- 変更履歴、構成変更を記録
- CloudTrail とは主語が違う
- Config: リソースベースで記録
- CloudTrail: AWS全体
- クエリで検索可能
- 対象リソースを ALL から個別にすることで料金を減らすことができる
- Config Rules
- コンプラに準拠しているかチェックできる
- 改善アクションが可能になる
- マネージドルールとカスタムルールがある
- 適合パックが準備されている
- マネージドルールを都度選択するのは大変だから予めパック化されている
- 業界でよく使うルールがまとめられている
- immutable なので変更したい場合は新しいルールを追加する必要がある
- AWS Organizations 内で、適合するパックを複数選択できる
- Control Tower のガードレールは Config Rule が使われている
所感
Config をオンにすると結構お金がかかってしまうので、オンにするのを躊躇することが多い状況でした。
EC2 とか RDS を夜間停止するとそれらも記録されて課金対象になったりするし。
この部分で困ってたので、対象リソースを ALL から個別にすることで、Config の使用料を減らすことができるのを知れたのはとても良い収穫でした!
