【AWS】Config 設定方法と無効化方法 簡単動作検証

スポンサーリンク
AWS
2024.09.28

この記事はAWSを独学で勉強している私が特に気になった内容を留めておくものです。

インフラ素人、高校の情報のテストで赤点取った人が「なんとなく」AWSを理解することをテーマに勉強した内容や気になった内容をまとめてます。

スポンサーリンク

AWS Configとは

AWSリソースへの設定変更を記録することができます。

そのため、思わぬ設定変更がされ、想定と異なる挙動をしていることを検知した際に、その設定のログを追いかけることで原因究明することが可能です。

記録されたログはS3バケットに自動保存されます。

AWS Config 簡易設定

①メニューから「Config」を設定します。

Configrationとは、設定ということで、AWSにおける設定情報の記録を確認できるサービスと覚えると良いです。

今回は簡単設定のため、デフォルト設定で行います。

S3バケットを作成し、その中に記録を溜め込んでいくことを設定します。

今回は設定をしませんが、Configルールという重要な機能もあります。

Configルールとは、組織として行うべき設定を事前に定義しておくことで、この設定がされていないAWSリソースを検出してくれる機能となります。

「確認」を押して設定は完了です。非常に簡単です。

Config 結果確認

ダッシュボード

設定後は、ダッシュボードにて記録を確認できます。

ただし、リソースのイベントリ取得には時間がかかるため、しばらく時間をおいてからの方がよいです。

リソースのイベントから詳細を見ていくことでどのVPCに対してどのような設定を行ったのかJSON形式でそのパラメータ設定の内容を確認することができます。

S3バケット 記録確認

更に詳細の記録はS3バケットに保存されているので確認することができます。

日付ごとにディレクトリが作成されますので、詳細を更に分析する場合には一次情報としてS3バケットを参照するときっと良いのだと思います。

設定削除

AWS Configの設定削除はCLIからでないと実行ができません。そこで、CloudShellから実行します。

次のサイトで丁寧に解説されているのでこちらをご確認ください。

AWSマネジメントコンソールから消せないAWS Configの設定をAWSCLIで綺麗にする方法 | DevelopersIO
dev.classmethod.jp
[cloudshell-user@xxx ~]$ aws configservice delete-delivery-channel --delivery-channel-name default
An error occurred (LastDeliveryChannelDeleteFailedException) when calling the DeleteDeliveryChannel operation: Failed to delete last specified delivery channel with name 'default', because there is a running configuration recorder.
[cloudshell-user@xxx ~]$ aws configservice delete-configuration-recorder --configuration-recorder-name default
[cloudshell-user@xxx ~]$ aws configservice delete-delivery-channel --
delivery-channel-name default

注意点としては、aws configservice delete-delivery-channel –delivery-channel-name defaultから実行すると上記のようにエラーが発生するため、aws configservice delete-configuration-recorder –configuration-recorder-name defaultから実行してください。

削除されたことを確認して、削除結果を確認します。

[cloudshell-user@xxxx ~]$ aws configservice describe-delivery-channels
{
"DeliveryChannels": []
}
[cloudshell-user@xxx ~]$ aws configservice describe-configuration-recorders
{
"ConfigurationRecorders": []
}

実行すると、AWS Configの設定が削除されたことが確認できます。

ただし、S3については個別に削除が必要です。

最後に

自分用の備忘録的な感じで、なんとなくの理解でまとめました。

何か問題があった際に、CloudTrailのイベント履歴やS3バケットに保存された内容を分析して解析する必要があるのだと思います。

以上です。

コメント

タイトルとURLをコピーしました