こんにちは、西内です。
今回はAWS Configの細かい話をしようと思います。
Configの有効化を行った際に想定と違うことが起きて焦ったことがあったので、同じ現象に遭った方の一助になれば幸いです。
今回想定するアーキテクチャ
まず、今回の記事の前提とするアーキテクチャを図示します。 以下のようなアーキテクチャでConfigを有効化していることとします。 図中の「Config委任アカウント」をConfigルールの委任管理者として、メンバーアカウントのConfig検出結果を集約します。 これにより、メンバーアカウントのConfig検出結果はConfig委任アカウントのアグリゲータから確認できるものとします。
Configアグリゲータとは
先ほど出てきたConfigアグリゲータについて軽く解説したいと思います。
Configアグリゲータとは、自アカウントや他アカウントのリソース設定と、AWS Config に記録されたコンプライアンスデータを表示することができ、アカウントやリージョン横断でConfigの検出結果を確認することができます。
公式ドキュメントはこちら docs.aws.amazon.com
アグリゲータに結果が表示されない?!
今回、メンバーアカウント側で以下2つのConfigルールを有効化しました。
- iam-password-policy
- eks-cluster-log-enabled
コンソール画面でも有効化されていることが分かります。
その後、管理アカウントのアグリゲータを見に行くと、iam-password-policyしか結果が表示されていません。
時間をおいても結果は変わらず。
有効化は出来ているのに、アグリゲータ側で表示されないルールがあるのは何故なのでしょうか。
アグリゲータには検出結果しか表示されない
公式ドキュメントにて、以下のような記載がありました。
[Aggregators] (アグリゲータ) ページのダッシュボードには、AWS リソースの設定データが表示され、ルールとコンフォーマンスパック、およびそれらのコンプライアンスステータスの概要が示されます。このダッシュボードには、コンプライアンス結果を持つルールのみが表示されます。
今回のケースに当てはめるとどういうことか、順を追って説明します。
今回、アグリゲータに表示されたなかったルール「eks-cluster-log-enabled」ですが、こちらはAmazon Elastic Kubernetes Service (Amazon EKS) クラスターのログが有効かどうかを検出する項目になっています。
しかし、このConfigルールを有効化したアカウントではEKSクラスターは何も構築していませんでした。
そのため、Configルールとしては有効化されていますが、そもそも検査を行う対象のEKSクラスターが存在しないため、検出結果が何もない状態となっていたのです。
一方で「iam-password-policy」ですが、こちらはAWS Identity and Access Management (IAM) ユーザのアカウントパスワードポリシーが指定した要件に沿っているかを検出する項目となっています。
そのため、同ルールを有効化したアカウント内にIAMユーザを作成してさえいれば、「準拠」「非準拠」のどちらかは検出されて、管理アカウントのConfigアグリゲータに結果が表示されたのです。
さいごに
メンバーアカウント側のConfigルール画面には、”有効化されているルール”が表示されますが、管理アカウント側のアグリゲータ画面には"検出結果の存在するルール"が表示されます。
そのため、メンバーアカウント側のConfigルール画面と管理アカウント側のアグリゲータ画面に表示されるルールの数は必ずしも一致するわけではありません。
メンバーアカウントでどのルールが"有効化されているか"を確認したい場合は、対象のアカウントのConfigルール画面から確認を行うようにするのが良いでしょう。
