AWS Configのマネージドルールでリソースのタグをチェックする方法をご紹介します。
今回はAWS Config有効化編になります。
背景
部門内でAWSアカウントの管理を行っているのですが、タグのないリソースが散見されました。
そこで、タグのないリソースを簡単に把握する方法がないか調べたところ、AWS Configのマネージドルール「required-tags」を使用することで、リソースのタグチェックが実施できることが分かり、今回試してみました。
AWS Configとは
AWS ConfigとはAWSのリソース構成を管理し、記録するためのサービスです。
AWS Configを有効化することによってAWSリソースがいつ、誰に、どのような変更がされたのかを記録することができます。
サポートされているリソースタイプ
サポートされているリソースタイプは以下のURLをご参照ください。 docs.aws.amazon.com
なお、リージョンごとにサポートされているリソースタイプが異なる場合があるため、下記のリンクもご参照ください。 docs.aws.amazon.com
AWS Configのマネージドルールとは
AWS ConfigのマネージドルールはAWS Configの機能の一つで、AWSのリソースが一般的なベストプラクティスに準拠しているかどうかを評価するための、事前に定義されたルールのことです。
今回はマネージドルールの中の「required-tags」を利用します。
AWS Configの有効化
AWS Configを有効化するために手動セットアップを行います。
すでにAWS Configを有効化している場合は本記事はスキップして問題ありません。
手動セットアップ方法
AWSマネジメントコンソールで「Config」と検索し、検索結果に出てきた「AWS Config」をクリックします。
「今すぐ始める」をクリックします。
まず始めに記録方法の設定を行います。
今回はAWS Configを有効化するリージョンで現在サポートされているリソース及び、将来的にサポートされる予定のすべてのリソースを記録対象とするため、デフォルトで設定されている「カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ」を選択します。
記録頻度もデフォルトのままとします。
次に、オーバーライド設定を行います。
コストを削減するため、デフォルトでIAMリソースタイプが記録から除外されています。IAMリソースタイプの変更履歴も記録したい場合はオーバーライド設定から削除します。
また、IAMリソースタイプ以外に除外したいリソースタイプがあれば追加します。
データガバナンスのIAMロール設定も今回はデフォルトのままとします。事前にIAMロールを作成している場合は「アカウントからロールを選択」を選択し、既存のIAMロールを設定してください。
次はAWS Config から変更履歴とスナップショットのファイルを送信するためのS3バケットの設定をします。
今回は新規作成するため、「S3バケットの作成」を選択しバケット名を入力します。
設定内容を確認後「次へ」をクリックします。
手動セットアップの時点でAWS Configルールを設定することができますが、次回の記事で紹介するため、今回は手動セットアップ時点では何も選択せずに「次へ」をクリックします。
レビュー画面で設定内容を確認し「確認」をクリックします。
しばらく待つとAWS Configのダッシュボートが表示されます。これでAWS Configが有効化されました。
まとめ
今回はAWS Configの概要と手動セットアップ方法についてご紹介しました。
次回の記事ではマネージドルール「required-tags」の設定方法をご紹介します。
