前回ではAWS Configの基本的な使い方を紹介いたしました。
今回は引き続き、AWS Configのメール通知の方法や、その他の監視可能項目について記事にしたいと思います。
ステータスが変わったらメールを送信する
ステータス変更が発生した場合に、ログに残るだけでなく、メール通知をしてほしいというケースは多くあるかと思います。
そこで前回行ったElastic IPの変更監視に対し、メール送信ができるように設定を行いたいと思います。
Amazon SNSの利用設定
AWS Configでメール通知をするにはAWSのサービスの一つであるAmazon SNSを利用します。
実は前回のElastic IP変更監視設定時に、既にAmazon SNS用のtopicとして「config-topic」を新規作成してありますので、これを利用します。
Amazon SNSの管理画面からTopicsの一覧を見ると「config-topic」があるのが分かります。
このリンクをクリックするとconfig-topicの詳細画面に移ります。
この中のSubscriptionsが通知先一覧ですが、なにも設定されていないので「Create Sbuscription」ボタンをクリックし通知先を追加します。
通知先の設定です。今回はメールで通知を行いため、Protocolを「Email」に設定し、Endpointに通知したいメールアドレスを入力しました。
通知先メールアドレス宛に確認メールが届くので、認証します。
認証するとSubscriptionに今回設定した内容が追加されました。
動作確認
次に、Configで変更が検知された際に、きちんとメールが届くか動作確認をしてみたいと思います。
前回同様にEC2のElastic IPを外して検知されたのを確認。
メールをチェックすると以下のように7通メールが来ていました。
なお7通メールが来た理由は、設定しているElastic IPの監視フィールドが7つあるためですがこれを減らせるような設定はありませんでした。
用意されている監視設定
EC2のElastic IPの監視項目を紹介しましたが、その他にも用意されている監視項目が多くあります。
| 項目名 | 内容 |
|---|---|
| root-account-mfa-enabled | rootアカウントに対しMFA(2段階認証)が設定されているかどうか |
| encryped-volumes | EBSボリュームが暗号化されているかどうか |
| cloudtrail-enabled | AWS Cloudtrailが有効になっているかどうか |
| eip-attached | Elastic IPが関連付けられているかどうか |
| restricted-ssh | セキュリティグループでSSH接続が不特定多数に許可されているかどうか |
| ec2-instances-in-vpc | EC2インスタンスがVPCに設定されているかどうか |
| required-tags | リソースに指定したタグが設定されているかどうか |
| restricted-common-ports | セキュリティグループで着信TCPトラフィックが不特定多数に許可されているかどうか |
また、上記以外にもカスタムルールというものがあり、任意でルール作成が可能です。
まとめ
2回にわたって紹介したAWS Configいかがでしたでしょうか。
確かにEC2などのサービスに直結する部分の監視は入念にするものですが、管理画面からの設定変更の監視については個人的に盲点でした。
様々なサービス展開がおこなわれているAWSを今後も追い続けたいと思います。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
