Amazon EventBridge を使用した AWS Config のモニタリング
Amazon EventBridge は、AWS リソースの変更を記述したシステムイベントのストリームをほぼリアルタイムに配信します。Amazon EventBridge を使用して、AWS Config イベントのステータスでの変更を検出し、対応します。
状態の遷移があると実行されるルールや、関心のある 1 以上の遷移があると実行されるルールを作成できます。次に、ユーザーが作成するルールに基づいて、ルール内のユーザー指定の値にイベントが一致するときに、Amazon EventBridge が 1 つ、または複数のターゲットアクションを呼び出します。イベントのタイプに応じて、通知の送信、イベント情報の取得、是正措置の実施、またはその他の対策を行うことができます。
ただし、AWS Config のイベントルールを作成する前に、次のことを行う必要があります。
-
EventBridge のイベント、ルール、ターゲットに精通しておいてください。詳細については、「Amazon EventBridge とは?」を参照してください。
-
EventBridge の使用を開始してルールを設定する方法の詳細については、「Amazon EventBridge の開始方法」を参照してください。
-
イベントのルールで使用するターゲットを作成します。
AWS Config 向けの Amazon EventBridge 形式
AWS Config 向けの EventBridge イベントは、以下の形式になっています。
{ "version": "0", "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8", "detail-type": "event type", "source": "aws.config", "account": "111122223333", "time": "2018-03-22T00:38:11Z", "region": "us-east-1", "resources": [resources], "detail": {specific message type} }
AWS Config 向けの Amazon EventBridge ルールの作成
AWS Config によって出力されたイベントでトリガーする EventBridge ルールを作成するには、以下の手順を実行します。イベントは、ベストエフォートベースで出力されます。
-
ナビゲーションペインで [Rules] (ルール) を選択します。
-
[Create rule] (ルールの作成) を選択します。
-
ルールの名前と説明を入力します。
ルールには、同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。
-
[Define pattern (パターンの定義)] で、[Event pattern (イベントパターン)] を選択します。
-
[Pre-defined pattern by service] (サービスごとの事前定義パターン) を選択します。
-
[Service provider] (サービスプロバイダー) で、AWS を選択します。
-
[Service name] (サービス名) には [Config] を選択します。
-
[Event Type] (イベントタイプ) で、ルールをトリガーするイベントタイプを選択します。
-
AWS のすべてのサービスに適用されるルールを作成するには、[All Events] (すべてのイベント) を選択します。このオプションを選択した場合、特定のメッセージタイプ、ルール名、リソースタイプ、またはリソース ID を選択することはできません。
-
AWS [API Call via CloudTrail] (CloudTrail 経由の API コール) を選択して、このサービスに対して行われた API コールをルールのベースにします。このタイプのルールの作成に関する詳細については、「チュートリアル: AWS CloudTrail API コールに対する Amazon EventBridge ルールの作成」を参照してください。
-
アカウント内のリソースが変更されたときに通知を受け取るには、[Config Configuration Item Change] (設定項目の変更) を選択します。
これらのサポート記事で説明されているように、EventBridge を使用して、リソースの作成または削除時にカスタム E メール通知を受け取ることができます。AWS Config サービスを使用して AWS アカウントにリソースが作成されたときに、カスタム E メール通知を受け取るにはどうすればよいですか。
およびAWS Config サービスを使用して、AWS アカウントでリソースが削除されたときに、カスタム E メール通知を受け取るにはどうすればよいですか。 -
ルールに対するコンプライアンスチェックが失敗したときに通知を受け取るには、[Config Rules Compliance Change] (設定ルールのコンプライアンス変更) を選択します。
このサポート記事で説明されているように、EventBridge を使用して、リソースが非準拠の場合にカスタム E メール通知を受け取ることができます。AWS Config を使用して、AWS リソースが非準拠の場合、どのように通知されますか。
-
再評価ステータスの通知を受け取るには、[Config Rules Re-evaluation Status] (設定ルールの再評価ステータス) を選択します。
-
設定スナップショットの配信ステータスの通知を受け取るには、[Config Configuration Snapshot Delivery Status] (設定スナップショット配信ステータス) を選択します。
-
設定履歴の配信ステータスの通知を受け取るには、[Config Configuration History Delivery Status] (設定スナップショット履歴の配信ステータス) を選択します。
-
-
任意のタイプの通知を受け取るには、[Any message type] (任意のメッセージタイプ) を選択します。次のタイプの通知を受け取るには、[Specific message type(s)] (特定のメッセージタイプ) を選択します。
-
ConfigurationItemChangeNotification を選択した場合、AWS Config が評価するリソースの構成が変更されたときにメッセージを受け取ります。
-
ComplianceChangeNotification を選択した場合、AWS Config が評価するリソースタイプが変更されたときに、メッセージを受け取ります。
-
ConfigRulesEvaluationStarted を選択した場合、指定されたリソースに対して AWS Config がルールの評価を開始したときに、メッセージを受け取ります。
-
ConfigurationSnapshotDeliveryCompleted を選択した場合、AWS Config が設定スナップショットを Amazon S3 バケットに正常に配信したときに、メッセージを受け取ります。
-
ConfigurationSnapshotDeliveryFailed を選択した場合、AWS Config が設定スナップショットを Amazon S3 バケットに配信できなかったときに、メッセージを受け取ります。
-
ConfigurationSnapshotDeliveryStarted を選択した場合、AWS Config が Amazon S3 バケットへの設定スナップショットの配信を開始したときに、メッセージを受け取ります。
-
ConfigurationHistoryDeliveryCompleted を選択した場合、AWS Config が設定履歴を Amazon S3 バケットに正常に配信したときに、メッセージを受け取ります。
-
-
[Event Type] (イベントタイプ) ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any resource type] (任意のリソースタイプ) を選択して、サポートされるすべての AWS Config リソースタイプに適用されるルールを作成します。
または、[Specific resource type(s)] (特定のリソースタイプ) を選択し、サポートされる AWS Config リソースタイプ (例:
AWS::EC2::Instance) を入力します。 -
[Event Type] (イベントタイプ) ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any resource ID] (任意のリソース ID) を選択して、サポートされる AWS Config リソース ID を含めます。
または、[Specific resource ID(s)] (特定のリソース ID) を選択し、サポートされる AWS Config リソース ID (例:
i-04606de676e635647) を入力します。 -
[Event Type] (イベントタイプ) ドロップダウンリストから特定のイベントタイプを選択した場合は、[Any rule name] (任意のルール名) を選択して、サポートされる AWS Config ルールを含めます。
または、[Specific rule name(s)] (特定のルール名) を選択し、サポートされる AWS Config ルール (例: required-tags) を入力します。
-
Select event bus (イベントバスの選択)で、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、AWSデフォルトのイベントバスを選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。
-
[Select target] (ターゲットを選択) で、このルールでの使用のために準備したターゲットのタイプを選択してから、そのタイプに必要な追加のオプションを設定します。
-
表示されるフィールドは、選択したサービスによって異なります。必要に応じて、このターゲットタイプに固有の情報を入力します。
-
多くのターゲットタイプでは、EventBridge はターゲットにイベントを送信するためのアクセス許可が必要です。これらの場合、EventBridge は、イベントの実行に必要な IAM ロールを作成できます。
-
自動的に IAM ロールを作成するには、[Create a new role for this specific resource (この特定のリソースに対して新しいロールを作成する)] を選択します。
-
以前に作成した IAM ロールを使用するには、[Use existing role (既存のロールの使用)] を選択します。
-
-
Retry policy and dead-letter queue:(ポリシーとデッドレターキューを再試行:) の Retry policy(再試行ポリシー) で次の操作を実行します。
-
[Maximum age of event] (最大イベント有効期間) に、1 分 (00:01) から 24 時間 (24:00) の間の値を入力します。
-
Retry attempts(再試行) で、0~185 の数値を入力します。
-
-
Dead-letter queue(デッドレターキュー) で、標準 Amazon SQS キューをデッドレターキューとして使用するかどうかを選択します。EventBridge は、このルールに一致するイベントがターゲットに正常に配信されなかった場合に、そのイベントをデッドレターキューに送信します。次のいずれかを実行します。
-
デッドレターキューを使用しない場合は、[None] (なし) を選択します。
-
[Select an Amazon SQS queue in the current AWS account to use as the dead-letter queue] (現在の AWS アカウント内でデッドレターキューとして使用する Amazon SQS キューを選択) を選択した後、使用するキューをドロップダウンリストから選択します。
-
Select an Amazon SQS queue in an other AWS account as a dead-letter queue(他の アカウントの Amazon SQS キューをデッドレターキューとして選択) を選択し、使用するキューの ARN を入力します。キューにメッセージを送信するための EventBridge 許可を付与するリソースベースのポリシーをそのキューにアタッチする必要があります。詳細については、「イベントの再試行ポリシーとデッドレターキューの使用」を参照してください。
-
-
(オプション) [Add target (ターゲットの追加)] を選択して、このルールに別のターゲットを追加します。
-
(オプション) ルールに 1 つ以上のタグを入力します。詳細については、「Amazon EventBridge のタグ」を参照してください。
-
ルール設定を確認して、イベントモニタリング要件を満たしていることを確認します。
-
[Create] (作成) を選択して、選択を確定します。
