AWS Config

AWS Config Rulesを使用し、組織全体で一定期間利用の無いIAMユーザーにDenyポリシーをアタッチしてみた

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules(以下、Configルール)で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ&管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

Organizations 環境でのデフォルトセキュリティグループのルール自動無効化

はじめに こんにちは。エンタープライズクラウド部の脇江です。 今回は Organizations 環境でデフォルトセキュリティグループのルールを自動的に無効化する方法について記載します。 はじめに 対象読者 デフォルトセキュリティグループとは? デフォルトセキ…

EC2 インスタンスがマネージドノードとして利用不可になった時の検知方法

はじめに こんにちは。エンタープライズクラウド部の脇江です。 突然ですが、皆さん EC2 インスタンスの運用管理に Systems Manager(以下、SSM)を使ってますでしょうか? SSM には EC2 インスタンスの運用管理に役立つ多数の機能が備わっています。 例えば…

AWS Config Rule Development Kit(RDK)使ってみた ~3. デプロイツール比較編~

こんにちは。アプリケーションサービス部の渡辺です。 AWS Config カスタムルールを作成することで、独自のルールで AWS リソースの設定内容を評価することができます。 AWS Config カスタムルールのひとつである AWS Config カスタム Lambda ルールは Lambd…

AWS Config Rule Development Kit(RDK)使ってみた ~2. 実践編~

こんにちは、アプリケーションサービス部ディベロップメントサービス1課の滝澤です。 本記事をご覧いただきありがとうございます。 今回、AWS Config Rule Development Kit(以下、RDK)を使用してAWS ConfigカスタムLambdaルールを作成してみたので、その方…

AWS Config Rule Development Kit(RDK)使ってみた ~1. 概要編~

こんにちは、アプリケーションサービス部ディベロップメントサービス1課の滝澤です。 本記事をご覧いただきありがとうございます。 今回、AWS Config Rule Development Kit(以下、RDK)を使用してAWS ConfigカスタムLambdaルールを作成してみたので、その方…

【3/3】マルチアカウント環境のリソース情報を可視化してみる(AWS Config + Athena + QuickSight)

こんにちは。AWS CLIが好きな福島です。 はじめに 第1弾 第2弾 第3弾 概要図 AthenaとQuickSightのイメージ図 参考 ⑩QuickSightでデータの可視化(可視化アカウントで実行) 権限を付与するユーザーの確認 データソースの作成 データセットの作成 v_config_ec2…

【2/3】マルチアカウント環境のリソース情報を可視化してみる(AWS Config + Athena + QuickSight)

こんにちは。AWS CLIが好きな福島です。 はじめに 第1弾 第2弾 第3弾 概要図 参考 ⑦可視化したい情報ごとに様々なビューの作成(可視化アカウントで実行) すべての AWS Config リソースのビューの作成 すべての EC2 インスタンスのビューを作成 すべての VPC …

【1/3】マルチアカウント環境のリソース情報を可視化してみる(AWS Config + Athena + QuickSight)

こんにちは。AWS CLIが好きな福島です。 はじめに 第1弾 第2弾 第3弾 参考 可視化のイメージ 概要図 前提 ①ConfigSnapshotの出力設定(各アカウントで実行) ConfigSnapshotの確認 ConfigSnapshotの設定 設定ファイルの作成 設定ファイルを基にConfigSnapshot…

【AWS Config Aggregator/AWS CLI】全AWSアカウントのリソース情報を取得してみる

こんにちは。AWS CLIが好きな福島です。 はじめに そもそも、AWS Config Aggregatorとは? 前提 事前準備 EC2の情報取得 実行コマンド 実行結果例 コマンドの説明 VPCの情報取得 実行コマンド 実行結果 RDSの情報取得 実行コマンド 実行結果 IAM 実行コマン…

【AWS Config】AWS Control Towerがやってくれる設定とやってくれない設定についてまとめました

EC部 技術1課の松田です。こんにちは。 今回はAWS Control TowerがやってくれるAWS Configの設定と、やってくれない設定についてお話しします。やってくれない設定についてはどうすればよいのか?という話にも触れていきたいと思います。 なおタイトル詐欺の…

マルチアカウントでAWS Configを使う時は「リトライ」機能に気を付けよう

CI2-1の松田です。こんにちは。 今日はあまり知られていないであろうAWS Configの「リトライ」の挙動についてお話します。 知らないとハマるかも?というところですので、特にマルチアカウントでAWS Configを使われている方は、最後までお付き合い頂ければ幸…

Config Rulesの新しい検知モードであるプロアクティブモードについて

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 試してみる ①Config Rulesのマネージドルールの作成 ②プロアクティブにConfig Ruleの評価を行う 実環境での利用を考える 注意点 使い方 rds-template.jsonの中身(準拠) rds-template.jsonの中身(非準拠…

AWSConfigRoleは非推奨なので、AWS_ConfigRoleに変更しましょう

AWSConfigRoleは「ダメ。ゼッタイ。」 2022年5月4日に AWS Health Event の通知を受信しました。 3行でまとめると以下になります。 AWSConfigRole というIAMポリシーは非推奨、今後アタッチできなくなる。 AWSConfigRole は使い続けられるが、ポリシーはメン…

Lambda Layers を使って再利用可能な共通コンポーネントを切り出す

CI2部 技術2課の山﨑です。 前回のブログでは AWS Lambdaを使ってAWS Config Rules のカスタムルールを作成しました。 blog.serverworks.co.jp 今回のブログでは AWS Lambdaの機能の1つであるLambda Layersを使ってカスタムルールとして定義したLambdaファン…

AWS Config Rules のカスタムルールを作成してみる

2022年に入ってからPythonの勉強を少しずつ始めました。CI2部 技術2課の山﨑です。 今回のブログでは AWS Config Rules のカスタムルールを作成してみようと思います。 AWS Config Rulesとは(おさらい) 機能 構成チェック 修復アクション(Remediation) 料…

【AWS CLI】Config Aggregatorの情報取得編

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド <command> <subcommand> describe-configuration-aggregators ①Aggregator名,AggregatorのARN describe-aggregate-compliance-by-config-rules ①ConfigRule名,準拠状況,非準拠のリソース数,上限値,</subcommand></command>…

【AWS CLI】Config Ruleの情報取得編

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド <command> <subcommand> describe-compliance-by-config-rule ①ConfigRule名,準拠状況,非準拠のリソース数,上限値 ②非準拠(NON_COMPLIANT)のリソースのみ表示 get-compliance-details-by-config-ru</subcommand></command>…

Amazon Athenaを利用してS3に保管されているログを調査する - AWS Config編 -

CI部1課の山﨑です。 今回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べてみたので整理します。 おさらい AWS Config AWS Config とは AWS Config のログの種類 Amazon Athena Amazon Athena とは S3のログを調査して…

AWS Config Aggregator を委任してマルチアカウント&マルチリージョンの評価を集約する

CI部 佐竹です。本日は、AWS Organizations に統合された AWS Config をメンバーアカウントに委任した後、AWS Config アグリゲーターを活用したデータ集約の設定方法について記載します。AWS Config Rules の状況を組織(Organization)でまとめて閲覧された…

Config Rule のConformance Packs(適合パック)を使ってパッケージ単位でConfig Ruleを管理する

自宅にサウナが欲しいCI部2課の山﨑です。 AWS Configの1つの機能であるConfig Rulesをパッケージ化したConformance Packs(適合パック)を使ってパッケージ単位でConfig Rulesを管理する方法を検証してみました AWS Configとは AWS Config Rulesとは 機能 構…

AWS Security Hub を有効にすると AWS Config の利用料が倍増した話

CI部佐竹です。 本日は、AWS Security Hub を有効化することで AWS Config の利用料が増えるという実例を紹介させて頂きます。また、合わせて調査に利用した Athena のクエリもご紹介いたします。AWS Config の利用料が増えた原因を調査されたい方の参考にな…

AWS Configのルールで非準拠判定されたらメール通知したい

AWS Configルールの対象リソースが非準拠判定された際にEメール通知される環境を構築します

AWSアカウントでEC2が作成されたときにメール通知【CloudWatch Events + AWS Config】

エンジョイ AWS! サーバーワークス エンジニアの伊藤Kです。 AWSアカウントの管理者をされている方で、例えばユーザーが自由にEC2インスタンスを構築できるよう権限を委任した場合に、 利用料チェックの観点から、EC2が構築されたこと自体は検知したい、と…

AWS Config が新たに 9 つのマネージドルールをサポートしました

はじめに こんにちは、技術1課の山中です。 もうすぐ梅雨というのもあるせいか、最近は雨の日が多いですね。 そんな日が続くと、たまに来る晴れの日には太陽のありがたさを感じることができます。 というのはさておき! 今回はこのアップデートについて見て…

AWS Config Rules で Lambda function に渡されるイベント情報について

みなさんこんにちは。 技術研究課の山田です。 この記事は AWS Advent Calendar 2015 の 9日目の内容になります。 Advent Calender に参加するのは初めてなので、なにとぞお手柔らかにお願いします。 さて、今回は AWS Config Rules のちょっとした小ネタを…

はじめての AWS Config Rules

みなさんこんにちは。 技術研究課の山田です。 2015年10月の re:Invent で発表された AWS Config Rules のプレビューが触れるようになったので、ドキュメントを読み進めつつさっそく使ってみました。 AWS Config Rules とは? あらかじめAWSの各種リソースに…