【入門】AWS ConfigでAWSリソースの設定履歴を調査する

AWS運用自動化サービス「Cloud Automator」

体重が増加傾向にあるCI部の柿﨑です。

AWS ConfigでAWSリソースの設定履歴を確認する方法について、記述します。
例として、AWS CloudTrail上で操作履歴を特定したい場合に、AWS Config上の「設定タイムライン」から追跡した方が操作履歴の特定が早くて確実なケースがあります。
また、AWSリソースの設定変更時、障害対応時の調査にも使えますので、AWS ConfigやAWS CloudTrailの設定はぜひとも有効化することを推奨します。

手順

1.AWS Configのコンソールからリソースを押下

2.リソースを指定して検索(今回はルートテーブルを対象とします。)

3.任意のリソースを選択

4.設定タイムラインを押下

5.AWS Configに記録されている設定履歴が表示されるため、任意の履歴を選択

6.選択した履歴の情報が表示されるため、「関係」「変更」「CloudTrail イベント」を確認

6-1.「関係」を確認
こちらでは選択したルートテーブルと関係のあるAWSリソースが表示されます。
特にAWSリソースの設定変更時にどのAWSリソースに対して影響を与えるか、などを特定するのに役立ちます。
以下の画像に表示されている例では、VPCとサブネットはルートテーブルに関連付けられており、ENIはルート情報に関連付けられています。

6-2.「変更」を確認
この設定タイムライン時点での変更内容が記録されています。
「開始」には設定変更前の情報が、「終了」には設定変更後の情報が記載されています。
それぞれ空白となっている箇所は設定が存在しないことを意味し、「開始」に設定が記載され、「終了」が空白となっている場合は設定が削除されています。
また、設定変更に伴う「関係」の情報も記録されており、本設定では新しくENI向けのルートを追加したため、ENIとの関係が発生したことを確認できます。

6-3.「CloudTrail イベント」を確認
本設定に関連するAWS CloudTrailの履歴を確認できます。
特定のAPI履歴を追跡する場合にAWSリソースが判明していれば、こちらから追跡をする方が早くて確実なケースがございます。
最後に「イベントの表示」を押下し、さらに内容を確認してみます。

7.AWS CloudTrail上での確認
以下画像のとおり、AWS Config上からAWS CloudTrailの「イベント履歴」を確認できました。

さいごに

AWS CloudTrailだけではAPI履歴をパッと確認することができても、どのような変更があったのかを確認することがやや困難です。
逆にどのような変更があったのかが判明していれば、AWS Config上から追跡することで関連するAPI履歴を迅速に特定することができます。
障害対応時は1秒でも惜しい場面があるかと思われますので、ぜひご活用いただければと思います♪

AWS運用自動化サービス「Cloud Automator」