こんにちは、Cloud Automator の柳瀬です。
Cloud Automator は 2014 年のサービス開始から多くのトリガーやアクションを追加いたしました。こちらのブログにも書きましたように、昨年は 16 の新しい機能追加と、1,500,000 以上のアクティビティをカウントしました。
ジョブの自動化はお客様の AWS の運用を自動化するために貢献してまいりましたが、AWS の運用をより自動化するためにジョブの自動化とは異なる、構成レビューを自動化する機能を6月1日にリリース致します。
背景
AWS に構築されたシステムは、利用ユーザーの増加、新しい機能追加、メンテナンス拠点の追加、メンテナンス作業などにより、環境が構築された後も日々変化し続けることがほとんどです。環境構築時は、システムが安全に稼働するようにガイドラインを策定し、ガイドラインに沿うように構築されます。しかし、構築された後に日々変化し続けるなかで、いつもガイドラインに沿っていることを担保することが課題となってきました。
このような経緯から Cloud Automator に構成レビューを自動化する機能をリリースすることになりました。
機能
構成レビュー機能では、AWS を利用するうえで守られるべきポイントが詰まったポリシーセットテンプレートを提供しております。 ポリシーセットテンプレートから必要なルールを OFF/ON して頂き、複数のポリシーから構成されるポリシーセットを作成して頂きます。ポリシーセット内の各ポリシーはお客様の AWS リソースがルールにそっているかレビューして結果を通知致します。
効果
リリースの背景にて書きましたような、AWS に構築されたシステムがガイドラインに沿っていることを保証することが出来ますし、ガイドラインに沿っていない環境となった場合には、必要な担当者に通知してガイドラインに沿った構成への変更を素早く行うことが出来ます。
ご利用の手順
- 構築レビューのトップ画面からポリシーセットの作成をクリックします
- ポリシーセットテンプレートの一覧から利用したいテンプレートを選択します
- 利用するルールのパラメータと後処理を設定し、利用しないルールは OFF にします。
- レビュー対象の AWS アカウントとリージョンを設定して、任意のポリシーセット名を入力して作成します
- 作成済みのポリシーセットは構成レビュー機能のトップ画面よりご確認頂けます
チェック可能なポリシーの例
- 仮想デバイスを使ってルートアカウントに多要素認証が有効化されていること
- IAMユーザーが1つ以上作成されていること
- すべてのIAMユーザーは個別にIAM Policyが設定されていないこと
- CloudTrailが有効化され、ログの保存先としてS3バケットが指定されていること
- セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと
- タグで指定したVPCのVPC Flow Logsが有効化されログの保存先としてCloudWatch Logsのロググループが指定されていること
- ELBにはAWSで定義された最新のSSLポリシーが設定されていること
ご利用時の注意点
構成レビュー機能は、AWS で提供されているサービスである AWS Config の Config rules をベースとして利用しております。以下のページに手順を記載しておりますので、AWS Config rules の上限緩和申請を行ったうえでご利用下さい。
また、今回の機能を利用して頂くためには Cloud Automator がお客様の AWS リソースを参照する権限が必要となりますため、Cloud Automatorに登録して頂く AWSアカウントに今までとは異なる権限を付与して頂く必要がございます。
価格
構成レビュー機能は1ポリシーあたり500円/月でご提供致します。
おわりに
構成レビュー機能にてレビューが出来る項目はこれからも追加される予定となっております。
より効率的に運用をするために、是非ご活用頂けますと幸いです。
引き続き Cloud Automator をよろしくお願い致します
Cloud Automator(クラウドオートメーター)とは、バックアップや災害対策、AWS費用の削減といった「ジョブ」と、AWSがガイドライン通りに運用されていることを継続的に確認する「構成レビュー」という2つのAWS運用を自動化し、AWSの利用メリットを最大限に引き出すサービスです。
