AWS Config を使用して非準拠の Lambda デプロイと設定を検出する - AWS Lambda
フェーズ 1: アクセスリソースの特定フェーズ 2: 視覚化と設計フェーズ 3: 実装と適用

AWS Config を使用して非準拠の Lambda デプロイと設定を検出する

事前評価に加えて、AWS Config は、ガバナンスポリシーに準拠していないリソースのデプロイや設定を事後的に検出することもできます。ガバナンスポリシーは、組織が新しいベストプラクティスを学び、実装するにつれて変化するため、これは重要です。

Lambda 関数をデプロイまたは更新するときに、まったく新しいポリシーを設定するシナリオを考えてみましょう。すべての Lambda 関数には、常に特定の承認された Lambda レイヤーバージョンを使用する必要があります。AWS Config を設定し、レイヤー設定の新規または更新された関数をモニタリングするようにできます。AWS Config が承認されたレイヤーバージョンを使用していない機能を検出すると、その関数は非準拠リソースとしてフラグ付けされます。オプションで、AWS Systems Manager 自動化ドキュメントを使用した修復アクションを指定することで、AWS Config がリソースを自動的に修正するように設定できます。例えば、AWS SDK for Python (Boto3) を使用して Python でオートメーションドキュメントを作成できます。これにより、非準拠関数が承認されたレイヤーバージョンを指すように更新されます。したがって、AWS Config は検出と是正の両方の制御を行い、コンプライアンス管理を自動化します。

このプロセスを次の 3 つの重要な実装フェーズに分けてみましょう。

The three implementation phases are identify, notify, and deploy remediation.

フェーズ 1: アクセスリソースの特定

まず、アカウント全体で AWS Config を有効にし、AWS Lambda 関数を記録するように設定します。これにより、AWS Config は Lambda 関数がいつ作成または更新されたかを確認できます。その後、AWS CloudFormation Guard 構文を使用して特定のポリシー違反をチェックするカスタムポリシールールを設定できます。Guard ルールには次のような一般的な形式があります。

rule name when condition { assertion }

以下は、古いレイヤーバージョンにレイヤーが設定されていないことを確認するルールのサンプルです。

rule desiredlayer when configuration.layers !empty {
    some configuration.layers[*].arn != CONFIG_RULE_PARAMETERS.OldLayerArn
}

ルールの構文と構造を理解しましょう。

  • ルール名: 例では、ルール名は desiredlayer です。

  • 条件: この句は、ルールを確認する条件を指定します。示されている例では、条件は configuration.layers !empty です。つまり、設定内の layers プロパティが空でない場合にのみ、リソースが評価されます。

  • アサーション: when 句の後に、アサーションによってルールがチェックする内容が決まります。アサーション some configuration.layers[*].arn != CONFIG_RULE_PARAMETERS.OldLayerArn は、Lambda レイヤの ARN のいずれかが OldLayerArn 値と一致しないかどうかを確認します。一致しない場合、アサーションは true でルールは成功し、一致しない場合は失敗します。

CONFIG_RULE_PARAMETERS は、AWS Config ルールで設定される特別なパラメータセットです。この場合、OldLayerArnCONFIG_RULE_PARAMETERS 内部のパラメータです。これにより、ユーザーは古い、または廃止されたと思われる特定の ARN 値を指定し、ルールはその古い ARN を使用する Lambda 関数がないかをチェックします。

フェーズ 2: 視覚化と設計

AWS Config は、設定データを収集し、そのデータを Amazon Simple Storage Service (Amazon S3) バケットに保存します。Amazon Athena を使用して、S3 バケットから直接このデータをクエリできます。Athena を使用すると、このデータを組織レベルで集約し、すべてのアカウントにわたるリソース構成の全体像を生成できます。リソース設定データの集約を設定するには、AWS クラウド運用と管理ブログの「Athena と Amazon QuickSight による AWS Config データの視覚化」を参照してください。

以下は、特定のレイヤー ARN を使用してすべての Lambda 関数を識別する Athena クエリのサンプルです。

WITH unnested AS (
    SELECT
      item.awsaccountid AS account_id,
      item.awsregion AS region,
      item.configuration AS lambda_configuration,
      item.resourceid AS resourceid,
      item.resourcename AS resourcename,
      item.configuration AS configuration,
      json_parse(item.configuration) AS lambda_json
    FROM
      default.aws_config_configuration_snapshot,
      UNNEST(configurationitems) as t(item)
    WHERE
      "dt" = 'latest'
      AND item.resourcetype = 'AWS::Lambda::Function'
  )
  
  SELECT DISTINCT
    region as Region,
    resourcename as FunctionName,
    json_extract_scalar(lambda_json, '$.memorySize') AS memory_size,
    json_extract_scalar(lambda_json, '$.timeout') AS timeout,
    json_extract_scalar(lambda_json, '$.version') AS version
  FROM
    unnested
  WHERE
    lambda_configuration LIKE '%arn:aws:lambda:us-east-1:111122223333:layer:AnyGovernanceLayer:24%'

クエリの結果は次のとおりです。

Query results in Athena console.

組織全体で AWS Config データを集約したら、Amazon QuickSight を使用してダッシュボードを作成できます。Athena の結果を Amazon QuickSight にインポートすることで、Lambda 関数がレイヤーバージョンルールにどの程度準拠しているかを視覚化できます。このダッシュボードでは、次のセクションで説明するように、準拠しているリソースと準拠していないリソースをハイライト表示できるため、施行ポリシーを決定するのに役立ちます。以下の画像は、組織内の機能に適用されるレイヤーバージョンの分布をレポートするダッシュボードの例です。

Example Amazon QuickSight dashboard shows distribution of layer versions in Lambda functions.

フェーズ 3: 実装と適用

フェーズ 1 で作成したレイヤーバージョンルールを、Systems Manager 自動化ドキュメントによる修復アクションとオプションで組み合わせることができるようになりました。このドキュメントは、AWS SDK for Python (Boto3) で記述した Python スクリプトとして作成します。このスクリプトは Lambda 関数ごとに UpdateFunctionConfiguration API アクションを呼び出し、新しいレイヤー ARN を使用して関数設定を更新します。あるいは、スクリプトでコードリポジトリにプルリクエストを送信し、レイヤー ARN を更新することもできます。これにより、今後のコードのデプロイも正しいレイヤー ARN で更新されます。