AWS Configでリソースの変更履歴を確認する
以下のページでAWS Config入門ということで、S3バケットのロギング設定の有効/無効を監査する方法をご紹介しました。
今回はAWS Configを使用してリソースの変更履歴を確認します。
構築する環境
構成は冒頭でご紹介したページと同様です。
2つのS3バケットを作成します。
1つ目は検証対象のバケットです。
ロギング機能を有効化しています。
後ほど手動で無効化します。
もう1つはAWS Configが動作するために使用されるバケットです。
AWSリソースの設定状況や変更状況に関するデータが保存されます。
CloudFormationテンプレートファイル
上記の構成をCloudFormationで構築します。
以下のURLにCloudFormationテンプレートを配置しています。
https://github.com/awstut-an-r/awstut-fa/tree/main/098
テンプレートファイルのポイント解説
基本的には冒頭でご紹介したページと同様です。
ただしAWS Configルールは不要のため、今回は作成しません。
環境構築
CloudFormationを使用して、本環境を構築し、実際の挙動を確認します。
CloudFormationスタックを作成し、スタック内のリソースを確認する
CloudFormationスタックを作成します。
スタックの作成および各スタックの確認方法については、以下のページをご確認ください。
各スタックのリソースを確認した結果、今回作成された主要リソースの情報は以下の通りです。
- AWS Config用バケット:fa-098-config
- 監査対象バケット:fa-098-logging-enabled
作成されたリソースをAWS Management Consoleから確認します。
AWS Configを確認します。
正常に動作していることがわかります。
Resourceインベントリを確認します。
リソースのタイプ等を選択後、バケット名を入力すると、今回作成したS3バケットが表示されます。
バケット名をクリックして詳細を確認します。
バケットの詳細情報を確認することができます。
変更履歴を確認するために、Resource Timelineをクリックします。
S3バケットに関するイベントがタイムライン形式で表示されます。
これを見ると、バケットの作成やロギング機能の有効化を実行した日時を確認できます。
これらはCloudTrailに記録されているAPIの呼び出し履歴です。
動作確認
準備が整いました。
先程までとは別のIAMユーザ(awstut)でS3バケットの設定を変更します。
具体的には、ロギング機能を無効化します。
改めてAWS Configにアクセスし、S3バケットのタイムラインを確認します。
イベントが追加されていることがわかります。
awstutというユーザが、ロギング機能の操作を設定したことがわかります。
このようにAWS Configを使用することによって、リソースの変更履歴を確認できました。
まとめ
AWS Configを使用してリソースの変更履歴を確認する方法をご紹介しました。