Amazon CloudWatch Events を使用した AWS Config のモニタリング - AWS Config

Amazon CloudWatch Events を使用した AWS Config のモニタリング

Amazon CloudWatch Events は、AWS リソースの変更を示すシステムイベントのほぼリアルタイムのストリームを提供します。Amazon CloudWatch Events を使用して、AWS Config イベントのステータスの変化を検出し、対応します。

状態の遷移があると実行されるルールや、関心のある 1 以上の遷移があると実行されるルールを作成できます。次に、作成したルールで指定した値とイベントが一致すると、Amazon CloudWatch Events で 1 つ以上のターゲットアクションが呼び出されます。イベントのタイプに応じて、通知の送信、イベント情報の取得、是正措置の実施、またはその他の対策を行うことができます。

ただし、AWS Config のイベントルールを作成する前に、以下を実行する必要があります。

  • CloudWatch イベント のイベント、ルール、ターゲットに精通しておいてください。詳細については、「Amazon CloudWatch Events とは」 を参照してください。

  • CloudWatch イベント の使用を開始し、ルールを設定する方法については 「CloudWatch イベントの開始方法」 を参照してください。

  • イベントのルールで使用するターゲットを作成します。

AWS Config の Amazon CloudWatch Events 形式

CloudWatch の AWS Config イベントには次の形式があります。

{ "version":"0", "id":" cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type":"event type", "source":"aws.config", "account":"111122223333", "time":"2018-03-22T00:38:11Z", "region":"us-east-1", "resources":[resources], "detail":{specific message type }

AWS Config の Amazon CloudWatch Events ルールの作成

以下のステップを使用して、AWS Config によって出力されたイベントでトリガーする CloudWatch イベント ルールを作成します。

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインの [Events] を選択します。

  3. [Create rule] を選択します。

  4. [Step 1: Create rule (ステップ 1: ルールの作成)] ページの [Service Name (サービス名)] で、[Config (設定)] を選択します。

  5. [Event Type (イベントタイプ)] で、ルールをトリガーするイベントタイプを選択します。

    • AWS のすべてのサービスに適用されるルールを作成するには、[All Events (すべてのイベント)] を選択します。このオプションを選択した場合、特定のメッセージタイプ、ルール名、リソースタイプ、またはリソース ID を選択することはできません。

    • [CloudTrail 経由の AWS API 呼び出し] を選択して、このサービスに対して行われた API 呼び出しをルールのベースにします。このタイプのルールの作成の詳細については、「AWS CloudTrail を使用して、AWS API 呼び出しでトリガーされる CloudWatch イベントルールの作成」 を参照してください。

    • アカウント内のリソースが変更されたときに通知を受け取るには、[Config Configuration Item Change (設定項目の変更)] を選択します。

    • ルールに対するコンプライアンスチェックが失敗したときに通知を受け取るには、[Config Rules Compliance Change (設定ルールのコンプライアンス変更)] を選択します。

    • 再評価ステータスの通知を受け取るには、[Config Rules Re-evaluation Status (設定ルールの再評価ステータス)] を選択します。

    • 設定スナップショットの配信ステータスの通知を受け取るには、[Config Configuration Snapshot Delivery Status (設定スナップショット配信ステータス)] を選択します。

    • 設定履歴の配信ステータスの通知を受け取るには、[Config Configuration History Delivery Status (設定スナップショット履歴の配信ステータス) ] を選択します。

  6. 任意のタイプの通知を受け取るには、[Any message type (任意のメッセージタイプ)] を選択します。次のタイプの通知を受け取るには、[Specific message type(s) (特定のメッセージタイプ)] を選択します。

    • [ConfigurationItemChangeNotification] を選択した場合、AWS Config が設定スナップショットを Amazon S3 バケットに正常に配信したときに、メッセージを受け取ります。

    • [ComplianceChangeNotification] を選択した場合、AWS Config が評価するリソースタイプが変更されたときに、メッセージを受け取ります。

    • [ConfigRulesEvaluationStarted] を選択した場合、指定されたリソースに対して AWS Config がルールの評価を開始したときに、メッセージを受け取ります。

    • [ConfigurationSnapshotDeliveryCompleted] を選択した場合、AWS Config が設定スナップショットを Amazon S3 バケットに正常に配信したときに、メッセージを受け取ります。

    • [ConfigurationSnapshotDeliveryFailed] を選択した場合、AWS Config が設定スナップショットを Amazon S3 バケットに配信できなかったときに、メッセージを受け取ります。

    • [ConfigurationSnapshotDeliveryStarted] を選択した場合、AWS Config が Amazon S3 バケットへの設定スナップショットの配信を開始したときに、メッセージを受け取ります。

    • [ConfigurationHistoryDeliveryCompleted] を選択した場合、AWS Config が設定履歴を Amazon S3 バケットに正常に配信したときに、メッセージを受け取ります。

  7. [Event Type (イベントタイプ)] ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any resource type (任意のリソースタイプ)] を選択して、サポートされるすべての AWS Config リソースタイプに適用されるルールを作成します。

    または、[Specific resource type(s) (特定のリソースタイプ)] を選択し、サポートされる AWS Config リソースタイプ (例: AWS::EC2::Instance) を入力します。

  8. [イベントタイプ] ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any resource ID (任意のリソース ID)] を選択して、サポートされる AWS Config リソース ID を含めます。

    または、[Specific resource ID(s) (特定のリソース ID)] を選択し、サポートされる AWS Config リソース ID (例: i-04606de676e635647) を入力します。

  9. [イベントタイプ] ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any rule name (任意のルール名] を選択して、サポートされる AWS Config ルールを含めます。

    または、[Specific rule name(s) (特定のルール名)] を選択し、サポートされる AWS Config ルール (例: required-tags) を入力します。

  10. ルール設定を確認して、イベントモニタリング要件を満たしていることを確認します。

  11. [Targets (ターゲット)] エリアで、[Add target* (ターゲットの追加)] を選択します。

  12. [Select target type] リストで、このルールを使用するために準備したターゲットのタイプを選択してから、そのタイプに必要な追加オプションを設定します。

  13. [Configure details] を選択します。

  14. [Configure rule details] ページで、ルールの名前と説明を入力し、[State] ボックスを選択して、作成後できるだけ早くルールを有効化します。

  15. [Create rule (ルールの作成)] を選択して、選択を確定します。