(4) AWS Config | AWSのサービスを1日1個紹介するnote
仕事が忙しくてちょっと間が空きました。
Lambdaのような大物の次は、単機能で中身を理解できていない&深く知ったら便利そう?なやつ。
サービス名
名前:AWS Config
一言でいうと:AWSリソースの変更を監査
概要
AWSリソースの構成管理を自動化する。
機能としてConfigとConfig Rulesの大きく2種類があって、誰がいつ何を変更したかを管理する構成管理機能と、設定したルールに準拠しているかのチェックができる。
Lambdaのところで出てきたとき、Configっていうから設定保持用リソースかと思ってたけど全然違った。どちらかというと開発や運用プロセス順守のためのツール的な位置づけ。
構成変更履歴は30日間から7年間保存できる。監査履歴を5年保存しろとかの要件がよくあるので、その辺にも簡単に対応できる。
Lambda側の認識誤りを直さなきゃ、と思って見に行ったら、あっちはAWS AppConfigでした。名前似すぎだろ。
AppConfigは、AWS Systems Manager の一機能とのこと。
特徴
(1)構成管理の変更履歴がわかる
普通はドキュメント作っておくのでわからなくなるなんてことはないんだけど、頻繁にインスタンスのスケールアップしていて「いつやったんだっけ?」ってわかんなくなっちゃうようなズボラ民でも困らない。たぶん。
この履歴をAPIで取れるなら、実施履歴を並べて書いただけのクソドキュメントを手作りする必要はなくなるかも。
(2)ルール準拠を監視できる
ルールに合わない設定変更をした場合、定期監視または即時でSNSで通知できる。
普通の単独システムで使うというよりは、社内システムで各部署に権限割り当てて、ある程度自由に各AWSサービスを使わせる運用で、情シスが監視するためにルールを作っておくイメージだろうか。
もしくは巨大システムでチームが多すぎて、統合管理の負荷が高い場合。
情シス担当がいちいち全部の設定を個別にチェックしてられないので、ポリシーとして置いておく運用になるのかな。
注意事項
ガバナンスのためのツールなので、ただ使ってるリソースを設定するだけじゃなくて、何をどう監視するのかの運用を考える方が重要。
とはいえConfigで履歴が取られてますよということが周知されてるだけで、抑止力にはなりそうではある。取ってはいるけどほとんど誰も見ないタイプのログ。
まとめ
CloudWatchやCloudTrailあたりとセットで使って、システム全体の監視を自動化するためのガバナンス機能。
監視できることが膨大にあるので、何を何のために監視するって程よい範囲で決めないと難しそう。
おまけ
開発者的にガバナンスって最も興味ない分野なので、わくわく感のなさがあふれでていてすみません。
でもなんかの案件で構成管理だいすき!履歴を毎日見る!って要件が出てきたら、Configの存在を思い出すと思う。