タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
AWS Configのコストを95%削減しつつ記録を残すことを諦めない - Nealle Developer's Blog
はじめに SREチームの大木( @2357gi )です。 ECS Serviceのオートスケーリングやバッチなど、ECS Taskの起動停止が頻繁に行われる環境でAWS Configを有効にしていると、AWS Configのコストが無邪気に跳ね上がってしまうことがあります。 インターネット上では特定のリソースを対象外にすることによりコストを抑える手法が多くの記事として見かけますが、対象外にするとAWS Config側で「リソースタイムラインの表示」ができなくなったり、Security hubで使用する情報の記録を行うことができなくなってしまいます。 そこで、特定のリソースを「記録から除外」するのではなく、「日時記録に設定」することにより前述した懸念点を解消しつつ、コスト削減をすることができたので紹介します。 経緯 我々のプロダクトでもサービスのスケールや機能拡大に伴い AWS Config
AWS Config + Athena + QuickSightによる複数AWSアカウント横断でのセキュリティ状態の可視化 - メドピア開発者ブログ
CTO室SREの侘美です。最近は社内のセキュリティ対策関連を生業にしております。 今回は最近進めていた社内のAWSアカウントのセキュリティ可視化がある程度形になったので記事にしたいと思います。 課題:多数のAWSアカウントのセキュリティをチェックしたい サイバー攻撃が増加している昨今、AWSなどのPaaS環境においても構築時にセキュリティの観点で注意すべき点がいくつもあります。 例えば、不必要なサーバー/ポートがインターネットに公開されていないか、アカウントにMFAが設定されているか、等々実施しておきたいセキュリティ対策は多岐にわたります。 弊社では、AWSを用いてインフラを構築する際にセキュリティ上守るべきルール集を、インフラセキュリティポリシーというドキュメントを定義しています。 しかし、あくまでドキュメントベースなので、実際にこのドキュメントに書かれたルールに準拠した構成になっている
「このセキュリティグループ使ってるんだっけ…?」に即座に答える AWS Config ルールのご紹介 | DevelopersIO
「えぇ・・・っと。このセキュリティグループ、削除して良いんだっけ。。」 みなさん、このような経験はないでしょうか?(私はよくあります・・・) 検証用途で一時的に作ったもの、過去に使っていたがインスタンスの削除にともない使われなくなった…etc さまざまな理由で使われていないセキュリティグループは存在しているかと思います。 いざ整理しようと思ったとき、悲しいかなセキュリティグループ側には判断するための属性がありません。 今回は、そんなときに役立つ AWS Config Rules を使って未使用のセキュリティグループを検出する方法のご紹介です。 AWS Config AWS Config はリソースの設定履歴を記録してくれるツールで、『いつ』『何のリソースが』『どのように変更されたか』 といった情報を簡単に確認することができます。(便利なので、ぜひ使ってくださいね) AWS Config に
セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件 | DevelopersIO
こんにちは、臼田です。 皆さん、自動化してますか?(挨拶 先日AWS Config Rulesでコンプライアンスに非準拠となった時に自動修復ができるようになりました。 もともとはLambdaを経由して自動修復が可能でしたが、今回はConfig Rulesで違反を検知してそのままSSM Automationを実行できるのでよりスマートに、より適切になった感じです。詳細は下記をご確認下さい。 [アップデート] AWS Config Rule 非準拠リソースを自動修復する機能が追加になりました! で、今回はこの機能を利用してSSHを0.0.0.0/0で全開放してしまったセキュリティグループを自動的に修復するという事をやってみました! タイトルに結論を書きましたが、3分くらいで自動的に修復されましたのでぜひ活用してほしいです。 SSHを全開放することは万死に値するので、もうすべてのAWSユーザはこ
~/.aws/(config|credentials)の設定情報を元にMFAを行い、一時的なセキュリティ認証情報を取得してコマンドを実行するawsdoを作った - Copy/Cut/Paste/Hatena
久しぶりに使うAWSのprofileがありまして、そのprofileについての記憶が失われていた結果、コマンド実行成功までに時間を溶かしてしまいました。 というのも、私は普段使うprofileではaswrapでAssumeRole(と多要素認証)を透過的に便利に実行していた結果、IAMの認証設定については何も考えなくなっていて「とりあえず aswrap 」を実行していました。 そして、 $ AWS_PROFILE=myaws aswrap aws s3 ls An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied 「あれ?認証情報無効にしたっけな 🤔」とか、トンチンカンな推測をしていました。 よくよく確認してみたらそのprofileは「MFAは必須だがAssumeRole
AWS Configコスト上昇の原因を調査:QuickSight + Athenaの分析ツールを活用 - Uzabase for Engineers
ソーシャル経済メディア「NewsPicks」でSREをしている美濃部です。 NewsPicksのSREのミッションの1つに「コストを適正化する」というものがあります。サービスの規模拡大に比例してインフラコストが増えないようにし、売上に対するコストの割合を低く維持していくのがミッションになります。 今回はAWSコスト削減の中でもConfigの料金に注目して紹介したいと思います。 コストモニタリング定例について Configのコスト分析をどうやって行なったか ConfigのレポートをQuickSightで可視化 構成 手順 QuickSightで可視化する事でわかった事 コスト増加の要因となったリソースタイプがわかったので対応する まとめ まず、SREでは週次でコストモニタリング定例を実施しているのでその内容について簡単に触れさせて頂きます。 コストモニタリング定例について 週次で主に以下のよ
AWS Config が高いと感じたら。AWS Config のコストを15分の1に下げた話 - ABEJA Tech Blog
切っ掛けと問題の認識 AWS Config のカウント数の監視 対象外にしたいリソースが見つかったら AWS Config 側で除外する 実際のコスト削減効果 なぜもともとコストが高かったのか まとめ こんにちは、ABEJAの村主です。ABEJAアドベントカレンダー2023の18日目の記事です。今回は、意外にも高額になりがちなAWS Configのコスト削減について、どのように対応したかをご紹介します。特に、AWS Configのコストを大幅に減らすためのアプローチについてお話しします。また、CloudWatch で AWS Config のカウント量を可視化する方法はあまり見かけなかったのでブログにしておきました。 切っ掛けと問題の認識 最初に気づいたのは、AWS Cost Explorer を確認していたときです。そこで見たAWS Configのコストは、1日あたり約$15、月間では約
AWS Config の料金がなぜこんなに高い? Amazon Athena でどのリソースが Config の記録対象になっているか調べてみた | DevelopersIO
わたしの検証環境で試していきます。 Config の設定確認 AWS Config 配信チャネルで、出力先の S3 バケットがどこであるか確認しましょう。 普段独立したリソースとして意識する機会は少ないと思いますが、マネジメントコンソールで以下から確認できる部分は配信チャネルの設定を表しています。 S3 バケットに格納されたオブジェクトの URI の例は以下です。 s3://バケット名/AWSLogs/アカウント番号/Config/ap-northeast-1/2021/9/24/ConfigSnapshot/ファイル名.json.gz ちょっとした気づきですが、yyyy/mm/dd形式になっていません。2021/09/24のように月や日を 2 桁に揃えてくれるわけでなく、元の数字が 1 桁のままであればそのまま 1 桁です。 Athena のクエリ結果の出力先 S3 バケットの作成 今回
IAMユーザにIP制限をかけていますか?AWS Configのカスタムルールを作成し、システム監査を自動化した話 - Akatsuki Hackers Lab | 株式会社アカツキ(Akatsuki Inc.)
この記事は Akatsuki Advent Calendar の 16 日目の記事です。 アカツキでエンジニアをしているe__komaと申します。 今年はAWS Summit TokyoやAmazon Game Developers Conference などを始め、色んなところでAWS運用を紹介させていただいております。 今回もそんなAWS運用話の1つです。 AWSアカウントが増えてくると、統制をとるのが大変ですよね。AWS Configを使えばポリシー違反のリソースを検知し、システム監査を自動化することができます。 この記事では、IAMユーザのIP制限を題材に、AWS Configのカスタムルールを作成する事例をご紹介いたします。 経緯 弊社ではEC2 IAMロールを利用したり、一時的な認証情報を利用することで、極力IAMユーザを作らない運用を目指しています。 一方で、各種サードパーテ
使用していないセキュリティグループをAWS Configの自動修復アクションで自動的に断捨離してみた | DevelopersIO
みなさんは「検証だから」と自分に言い聞かせて雑に作ったセキュリティグループがどんどん、どんどん増えて、次第に消すのも面倒くさいと思うくらいにどうしようもなくなったことありませんか? 私はあります。まさに今そういうお気持ちです。 「launch-wizard-20」 「launch-wizard-21..」 「launch-wizard-22....」 我ながらヒドい。 なんやかんやでセキュリティグループが95個もありましたが、ほとんど使っていない状態です。 今回はこの使ってないセキュリティグループをサクッと断捨離してしまおう!という手順のご紹介です。 先に3行まとめ AWS Configのマネージドルールで使われてないセキュリティグループを検出 AWS マネージドの修復アクションを使って自動修復(セキュリティグループA削除) 削除対象はEC2で使用されてないセキュリティグループになるので、
AWS Config の新コンソールを使うと高度なクエリ機能のサンプルコードが 16→58 に増えて超絶便利になった | DevelopersIO
AWS Config には現在のリソース設定などを SQL で取得できる高度なクエリ機能(Advanced queries)があります。 これまで 16 のサンプルクエリが提供されていたのですが、AWS Config の管理コンソールを新しいバージョンに切り換えると一気に 58 まで増えて、超絶便利になりました! 今回は執筆時点で提供されているサンプルクエリをざざっとご紹介します。 新コンソールの切り替え AWS Config の管理コンソールが旧バージョンの場合、以下のリンクをクリックして新バージョンに切り替えてください。 サンプルクエリ一覧 名前 説明
[アップデート] クエリ一発で全アカウント、全リージョンの情報取得!AWS Config でマルチアカウント、マルチリージョンに対しての高度なクエリがサポートされました | DevelopersIO
先日、AWS Config の管理コンソールを新バージョンにすると Advanced query のサンプルクエリ数が 16 から 58 に増えて便利ですよ! という記事を書きました。 記事のなかで、「Aggregate 機能を使うことで複数のリージョン、複数のアカウントのリソースを取得できるので非常に便利です!」と、さらっと書いていたのですが、どうやら機能アップデートだったようです。本日のアップデートリリースが流れてきて気づきました。 Introducing AWS Config multi-account, multi-region support for advanced query ということで、あらためてマルチアカウント、マルチリージョンでの Advanced query についてシェアしたいと思います。 何が嬉しいのか AWS Config としてのマルチアカウント、マルチリー
[アップデート] AWS Systems Manager インベントリによって収集された OS 上のファイルの設定変更が AWS Config の記録対象になりました! | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Systems Manager が AWS Config と統合し、インベントリによって収集されたマネージドインスタンス上のインベントリファイルの構成変更が記録されるようになりました! Track file changes on Systems Manager managed instances with AWS Config OS 上のファイルの変更管理までできてしまうなんてすごいですね! 目次 何が変わったのか やってみた 1. AWS Config レコーダーの設定 2. Systems Manager インベントリのセットアップ 3. OS 上のファイルの変更 4. AWS Config タイムラインでの確認 終わり 何が変わったのか 以下のイメージです。 Systems Manager インベントリでは、マネージドインスタンスからメタデータを
![[アップデート] AWS Systems Manager インベントリによって収集された OS 上のファイルの設定変更が AWS Config の記録対象になりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/55943a31a62c083eecc0e7c202eda33c4f08eca9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-systems-manager-ssm.png)
AWS Config 適合パック (Conformance Packs) で何ができるのか分からなかったので絵を描いて理解してみた | DevelopersIO
コンバンハ、千葉(幸)です。 何かとコンフォーマンスしがちな今日この頃、いかがお過ごしでしょうか。 AWS Config の適合パック(コンフォーマンスパック)というものについて、最近知る機会がありました。適合パックについて、公式ブログでは以下のような説明があります。 適合パックを使用すると、コンプライアンスルールのパッケージを作成することができます。このパッケージはAWS Config ルールと修復アクションの両方を単一のエンティティにまとめたもので、大規模な展開を容易にします。そして、これらを組織全体に展開し、顧客や他のユーザーと共有できます。さらに、適合パックによりコンプライアンス・レポートも簡素化されます。これからは適合パックレベルでのレポートが可能になり、そこから従来通り個別のルールやリソースのレベルへ詳細化していくことも可能です。既存のレポート機能はすべてそのまま機能したままで
Amazon Web Services ブログ AWS Config ベストプラクティス AWS Config は、AWS リソースの設定履歴を維持し、ベストプラクティスと内部ポリシーに対して設定を評価するサービスです。この情報は、運用上のトラブルシューティング、監査、コンプライアンスのユースケースに使用できます。このブログ記事では、企業全体のガバナンスを可能にするツールとして AWS Config を使用する方法のベストプラクティスを紹介します。 1.すべてのアカウントとリージョンで AWS Config を有効にします。 これは、 Center for Internet Security (CIS) が推奨する業界のベストプラクティスです。AWS Config を使用すると、AWS リソースの設定を監査し、設定のベストプラクティスに確実に準拠することができます。 AWS CloudFo
Security HubにかかるAWS Configの料金を抑える - ENECHANGE Developer Blog
CTO室の岩本 (iwamot) と申します。AWSで運用している各種リソースを、なるべくベストプラクティスに沿うように最適化していくのが、ぼくのミッションのひとつです。 Security Hubを使うと、セキュリティのベストプラクティスに反しているAWS上のリソースが自動的に検出できます。ENECHANGEでも、先日から運用を始めました。 ただ、上記の検出には、AWS Configの料金が意外とかかります。これは、リソースの設定変更をAWS Configで記録する必要があるためです。 Security Hubは便利だけれど、AWS Configの料金は抑えたい、そんなときに使える小ワザをご紹介します。 記録するリソースタイプを絞る その小ワザとは「AWS Configで記録するリソースタイプを、Security Hubでの検出に必要なものに絞る」です。 Security Hubで必要とな
CloudWatch Logsの保持期間をAWS Configでチェックして自動設定する | DevelopersIO
CloudWatch Logsは様々なログを格納することができて便利ですが、デフォルトでは保持期間が設定されません。 無駄なコストを抑えるために保持期間を「AWS Config」でチェックして、保持期間が設定されていなければ通知&自動設定してみたいと思います。 AWS Configのルール作成 最初にAWS Configのコンソールから、CloudWatch Logsの保持期間をチェックするルールを作成します。 ログの保持期間をチェックするルールはAWSから提供されています。 検索ボックスで「cw-loggroup」などで検索して、該当のルール「cw-loggroup-retention-period-check」を選択してください。 必要に応じて名前や、トリガー、パラメーターを設定してください。トリガーの頻度(チェックする間隔)は「1時間」「3時間」「6時間」「12時間」「24時間」から
[アップデート] AWS Config マネージドルールに 28 ルールが追加され、全部で 162 種類になりました!多い! | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Config マネージドルールが一気に 28 種類も追加されました! AWS Config Launches 28 Additional Managed rules これで合計は 162 種類になりました。このくらいの数だとコンプリートしたくなりますね!(※ Config ルールにコンプリートという概念はありません。) 目次 AWS Config マネージドルールとは どんなマネージドルールが増えたのか やってみた 終わりに AWS Config マネージドルールとは マネージドルールとは、ユーザーが AWS Config ルールを作成する際にソースとして指定できるルールのうち、 AWS が提供しているもののことを指します。 以下のようなイメージです。 Config ルールって何?という場合には、以下のエントリにて上記の絵を含めて説明していますのであわ
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。ZOZOテクノロジーズの光野氏がAWS Configを用いてマルチアカウント・マルチリージョンでの品質維持管理について話しました。 AWS Configでスケールする品質維持環境を作りましょう 光野達朗氏(以下、光野):「AWS Configを用いたマルチアカウント・マルチリージョンでのリソース把握とコンプライアンス維持への取り組みについて」というテーマで、ZOZOテクノロジーズの光野が発表いたします。よろしくお願いいたします。 あらためまして自己紹介いたします。私はZOZOテクノロジーズの光野と申します。キャリアとしては、もともとヤフー株式会社でサーバサイドのエンジニアをしていたのですが、あるときAWSに出会いまして、AWSのサービスのエンジニアから徐々にマルチアカウントの管理に進んでいます。よろしくお
AWS Configを用いたマルチアカウント・マルチリージョンでのリソース把握とコンプライアンス維持への取り組みについて / Using AWS Config for Multi-Account, Multi-Region Resource Understanding and Maintaining Compliance
Title AWS Configを用いたマルチアカウント・マルチリージョンでのリソース把握とコンプライアンス維持への取り組みについて Speaker 光野 達朗 Tatsuro Mitsuno (技術開発本部 SRE部 テックリード) 2020/09/08 第一回 AWSマルチアカウント事例祭り https://zozotech-inc.connpass.com/event/185894/ #ama_fes01 https://youtu.be/OV7r1xWuvSg
AWS Config now supports periodic recording: Efficiently scale your change tracking
AWS Config announces the launch of periodic recording to track resource configuration changes more efficiently at scale. This launch extends AWS Config’s existing recording capabilities, which continuously track every change as it occurs. Periodic recording captures the latest configuration changes of your resources once every 24 hours, reducing the number of changes delivered. Both continuous and
Amazon Web Services ブログ AWS Config 適合パックの紹介 AWS Config 適合パック(コンフォーマンスパック)を紹介できることを大変嬉しく思います。適合パックは、共通のフレームワークとパッケージモデルを用いて、ポリシー定義から監査、集計レポートに至るまで、大規模なAWS リソースのコンプライアンス設定を管理するのに役立ちます。 注:本記事の原文は2019年12月に公開されていますが、2020年4月に適合パックの追加(AWS Control Tower ガードレール適合パック、CIS コンプライアンスパック)が行われたことに伴い、今回改めて翻訳を実施致しました。 適合パックとは 適合パックを使用すると、コンプライアンスルールのパッケージを作成することができます。このパッケージはAWS Config ルールと修復アクションの両方を単一のエンティティにまとめ
AWS Config 適合パックの検討から導入までの紹介
第三子の出産のため、1年間の産休育休を経て2020年9月より職場復帰しましたインフラチームの平と申します。久しぶりのエンジニアブログエントリーになります。 今回のエントリーでは、Japan Digital Design (以下、JDD)で行った、AWS Configの適合パック導入について紹介いたします。 本ページではAWSリソースの設定を評価、監査、審査できるサービス「AWS Config」のマネージドルールのセットである「適合パック」の導入と、組織単位のアグリゲーター設定について解説します。 読者対象 管理対象のAWSアカウントが複数ありAWS Organizations導入済で、AWS Config の運用について検討中の方AWSの運用管理が好きな方セキュリティ担当の方 AWS Configマネージドルールの選定および導入AWS Configの運用ついては、AWS公式ドキュメントのベ
このサーバのアプリケーションいつバージョンアップしたんだっけ? SSM インベントリと AWS Config の組み合わせでタイムラインから確認する | DevelopersIO
コンバンハ、千葉(幸)です。 先日、以下の記事を書きました。 AWS Systems Manager インベントリを利用して収集した OS 上のファイルのメタデータが、 AWS Config による記録の対象となった、というものです。ファイルの情報を変更したらそれが AWS で検知できるなんて面白いなーと思いました。 それの検証を行った際に、従来からできる機能でも面白いと思ったものがありました。今回はそれをご紹介します。 全体のイメージは以下の通りです。 目次 SSM インベントリによるマネージドインスタンスのメタデータの収集 AWS Config 設定レコーダーによるリソースの設定変更記録 やってみた 1. AWSConfig レコーダーの設定 2. Systems Manager インベントリのセットアップ 3. マネージドインスタンスの作成 4. yum アップデートの実行 終わりに
[アップデート] AWS Config 適合パックでコンプライアンスステータスを可視化できるタイムラインが使用できるようになりました | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Config 適合パックでタイムラインの機能が使用できるようになりました! AWS Config launches the ability to track and visualize compliance change history of conformance packs 準拠状況を時系列で確認できるようになったので、管理が捗りますね。 新しく登場した「適合パックのタイムライン」 AWS Config 適合パックは、 Config ルールと修復アクションをテンプレートで定義し、一括で管理できる仕組みです。 デプロイされた Config ルールが各種リソースに対してコンプライアンスの準拠状態を確認し、準拠 / 非準拠 / データ不足 といった振り分けを行います。 今回のアップデートにより、適合パックのタイムラインが確認できるようになりました。 以下
[アップデート]AWS Configで特定のリソースタイプだけを記録から除外できるようになりました! | DevelopersIO
AWS Configで特定のリソースタイプだけを限定して、Configの記録から除外することができるようになりました! 概要 AWS Configで特定のリソースタイプだけを限定して、Configの記録から除外することができるようになりました!今までAWS WAFなどでは、特定のルールのみ除外する設定はありましたが、AWS Configではサポートされていませんでした。今回のアップデートで除外設定が捗りそうです。 細かい設定方法は、以下のCLIの設定やドキュメントを確認することをおすすめします。従来のallSupportedオプションなどとは併用できないですが、recordingStrategyでuseOnlyのEXCLUSION_BY_RESOURCE_TYPESを指定することで、除外設定したリソースタイプ以外の全てを記録対象にできます。 なぜこの機能が嬉しいのか AWS Configは
![[アップデート]AWS Configで特定のリソースタイプだけを記録から除外できるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fb5504ea159aeacfa81ec82f1bb41582771f1e3/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-config.png)
こんにちは。crowdworks.jp SREチームの田中です。 最近じわじわと円安が進み、AWSの料金が気になるこの頃です。 今回はAWS Configで急に料金が増加した件と、その対応についてご紹介します。 朝、AWS Cost Anomaly Detection(AWSコスト異常検知)からお知らせが来てました。 AWS Configが増えてるAWS Cost anomaly summary 4/18からAWS Configで1日あたり約10USDの増加。結構なお値段ですね。 参考までに、AWS ConfigはAWSリソースの設定を監視、評価、監査し、設定変更を追跡するためのサービスです。 調査 AWS Configの配信先 AWS Configで何もわからなかったので、まずはAWSの記事を参考に配信先のS3をAthenaでクエリし、該当日でリソースタイプ・リソースごとのレコード件数を
AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~4. AWS Config~ - fu3ak1's tech days
Organizationsシリーズ第四弾、AWS Config編です。 Organizationsの紹介(はじめに編)はコチラ 前回はコチラ AWS Configとは AWSリソースの設定変更履歴を保存できるサービスです。たとえばあるセキュリティグループに対して、誰がどのような変更を行ったのか履歴で確認できます。 また、Configルールと修復アクションを使用することで、リソースが指定された状態になっているかチェックを行い、自動的に修復することも可能です。たとえば、セキュリティグループで0.0.0.0/0が設定されてインターネットに公開された場合に検知して自動削除するといった運用も可能になります。 Organizationsを使用したマルチアカウント設定 前提として、Config記録が全アカウント、全リージョンで有効になっている必要があります。 以下の手順で実施していきます。 Organi
目次 目次 はじめに こんな方へおすすめの記事です 前提 試してみた restricted-sshルールの設定 restricted-sshルールとは ルール作成 AWS Systems Manager Automation用IAMロールの作成 AWS Systems Manager Automation用IAMロールがなぜ必要か ポリシー&ロール設定 自動修正設定 自動修正の動作確認 おわりに お知らせ はじめに こんにちは、クラウド事業部の清水(駿)です。 AWS Configの機能で、自動修正について調査・検証を行いました。 セキュリティーグループ(SG)にてSSHの全開放はセキュリティリスクの懸念があるため多くのエンジニアを抱える企業の検証アカウントでなどは管理しきれずに設定されてしまう可能性があります。 そこで自動的に不必要な設定を修正する機能がAWS Configの自動修正機能
awsdoに ~/.aws/(config|credentials)の設定情報がなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加した - Copy/Cut/Paste/Hatena
1年以上前からの久しぶりのアップデートです。 k1low.hatenablog.com --role-arn --source-profile 複数のAWSアカウントを横断して作業することがあり、AssumeRoleのための設定を~/.aws/(config|credentials)に書くのすら面倒になってきたので、設定なしでAssumeRoleができるようにするためのオプション --role-arn と --source-profile を追加しました。 委任元のアカウントAのロール arn:aws:iam::AAAAAAAAAAAAAA:role/example-role を委任先のアカウントBに委任できるようにしている場合、 委任先のアカウントBの設定が ~/.aws/(config|credentials) にある場合は( profile-b )、 $ awsdo --role-a
AWS Security Hub を有効にすると AWS Config の利用料が倍増した話 - サーバーワークスエンジニアブログ
CI部 佐竹です。 本日は Security Hub にまつわるお金の話です。 はじめに Security Hub Security Hub を有効化する = Config Rules AWS Config の利用料金 Config 利用料の変化を Athena クエリで分析する コスト増の理由 原因一覧 分析に至る背景 個別のインスタンスを掘り下げた詳細な要因 AWS::EC2::Instance AWS::SSM::ManagedInstanceInventory AWS::SSM::AssociationCompliance/AWS::SSM::ManagedInstanceInventory 利用料増加の要因まとめ まとめ はじめに 以前、Amazon Macie で利用料が意図せず増加してしまうブログ記事を記載しました。 blog.serverworks.co.jp 今回もそのよ
AWS Config による継続的コンプライアンス実現に向けた取り組み / Continuous Compliance With AWS Config
Security-JAWS 【第19回】 勉強会 2020年11月24日(火) https://s-jaws.doorkeeper.jp/events/113783 Session1: 「AWS Config による継続的コンプライアンス実現に向けた取り組み」 株式会社ビズリーチ 長原 佑紀 にて発表した資料です。
【AWS Config】EC2インスタンスに特定アプリケーションがインストールされているかチェックして通知する | DevelopersIO
はじめに 上記のように、EC2インスタンスに特定アプリケーションがインストールされているかどうかチェックを行い、 必要に応じて通知を行う仕組みを作りたいです。 これを実現するための仕組みを作って、試してみます(検証用 EC2インスタンスとして Amazon Linux 2を使用)。 先にまとめますが、以下のような構成図になります。 前提知識 前述の構成図の各要素説明します。 「インストールされているアプリケーション情報を収集する」ために必要なサービス この部分の説明をします。 主に AWS Systems Manager(SSM) の機能を活用します。 SSMは AWS環境の運用管理のために役立つ多種多様なサービス群の総称です。 SSMでできることはとっても多いので、今回使用するサービスに絞って説明します。 EC2インスタンスや オンプレミスサーバに SSMエージェント をインストールする
AWS Config 適合パックを使用したAWS Control Tower発見的ガードレールの実装 | Amazon Web Services
Amazon Web Services ブログ AWS Config 適合パックを使用したAWS Control Tower発見的ガードレールの実装 多くのお客様から、AWS Control Towerによるガバナンスを実現する前に、Control Towerの発見的ガードレールだけを既存のAWSアカウントに適用したいという要望をいただいています。この度、既存のAWS OrganizationでAWS Control Towerを起動できるようになりました。これにより、お客様は既存のアカウントにてAWS Control Towerの発見的ガードレールのコンプライアンスを適用できるようになりました。加えて、我々はControl Towerの配下にアカウントを登録する機能も発表しました。Control Towerガバナンスをアカウントに拡張する前に、Control Towerのガードレールがア
AWS Configのカスタムルールと自動修復でMFAを全IAMユーザーに強制する - 365歩のテック
AWS Configのカスタムルールによる自動検出と自動修復の仕組みを使って、「全IAMユーザーに自動でMFAを強制する」仕組みを試してみました。 目次 目次 目次 やりたいこと AWS Configとは AWS Config カスタムルールとは 自動修復とは 前提 使用技術 方法 やりたいこと(再掲) 作るもの ディレクトリ構成 実装 SAM(CloudFormation)用template.yml ソースコード(Python) ホワイトリストユーザ用テキストファイル デプロイシェル 解説 SAM(CloudFormation)用template.yml 上記MFA強制ポリシーの補足 ①「デタッチ」か「ポリシー編集・削除」を許可しないと、いざというときのデタッチ方法がなくなる ②間違えてこのポリシーの削除をしようとしてしまったとき、削除自体は禁止されるが、その際にこのポリシーが付いている
AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
2020.05.26 | Writer:ふくちゃん AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた AWSリソースの設定を「いつ」、「だれが」、「どのように」変更したのか確認したいタイミングがあります。 そんなときに使用したいのがAWS Configです。 AWS Configを利用することで、AWSリソースの設定を記録し、設定の変更や他のリソースとの依存関係が時間経過とともに確認できます。 当コラムではAWS Configの簡単な説明と、実際の利用例を紹介します。 こちらのコラム「AWS Config でAWSリソースやソフトウェアの設定履歴を保存し、コンプライアンス対策やセキュリティの強化を!」ではAWS Configの活用方法を紹介しています。 是非ご確認ください。 AWS Configとは? AWS ConfigはEC2、EBS、セキュリティ
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 とは AWS Config? AWS Config AWS AWS アカウント内のリソースの設定を詳細に表示できます。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。 AWS リソースは、Amazon Elastic Compute Cloud (EC2) インスタンス AWS、Amazon Elastic Block Store (EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) など、操作できるエンティティです。 AWS がサポートするリソースの全リストについては AWS Config、を参照してください。サポートされているリソース
CloudFormationでCloudWatch Logsの保存期間をAWS Configでチェックして自動設定する | DevelopersIO
前回ご紹介した、AWS ConfigによるCloudWatch Logsの保持期間のチェック設定をCloudFormationで簡単に導入できるようにしてみました。もしよろしければご活用ください! 前回の記事で、CloudWatch Logsの保持期間をAWS Configでチェックして指定期間に修正するという内容をご紹介しました。 前回はコンソールで作業していましたが、それも面倒なのでCloudFormationで設定できるようにしてみました。 CloudFormationテンプレート 早速ですが、テンプレートは以下のとおりです。 --- AWSTemplateFormatVersion: '2010-09-09' Description: check and set retention days of the CloudWatch Logs log group by AWS Confi
AWS Config 適合パックをデプロイする時にパラメータを設定する場合は キーも自力で入力しよう | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Config の適合パックは、AWS Config ルールや修復アクションの組み合わせをテンプレートで定義し、一括でデプロイ・管理できる機能です。 裏側では CloudFormation が呼び出されていることもあり、テンプレートは CloudFormation のものと同じような構文で書くことができます。 ただ、それをマネジメントコンソールからデプロイする際には CloudFormation のデプロイの場合とお作法が異なる部分があります。今回はそれについて書きます。 適合パックの詳細は以下をご参照ください。 目次 CloudFormation テンプレートにおけるパラメータ Config 適合パック テンプレートにおけるパラメータ 実は書きたいことは少し違った 終わりに CloudFormation テンプレートにおけるパラメータ パラメータを使用
[アップデート] AWS Config の適合パックに「CIS コンプライアンスパック」および「AWS Control Tower Detective Guardrails」2 つのテンプレートが追加されました | DevelopersIO
[アップデート] AWS Config の適合パックに「CIS コンプライアンスパック」および「AWS Control Tower Detective Guardrails」2 つのテンプレートが追加されました 適合パックに「CIS ベンチマーク」および「AWS Control Tower」 向けの 2 つのテンプレートが追加されました。CIS ベンチマークの Config ルールって Security Hub と被ってません、、? 先日のアップデートで AWS Config の適合パック(コンフォーマンスパック)に以下 2 つのテンプレートが追加されました。 CISコンプライアンスパックテンプレート CIS 要件への準拠を検証するのに役立ちます。ただし、すべての CIS 要件すべてをカバーするものではありません。Config ルールを使用してカバーできる要件のみであることに注意してくださ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Config ベストプラクティス | Amazon Web Services
やらないという選択肢はない AWS Configを用いたマルチアカウント・マルチリージョンでのリソース把握とコンプライアンス維持
AWS Config 適合パックの紹介 | Amazon Web Services
AWS Configのアップデートで課金増えていませんか? - クラウドワークス エンジニアブログ
【AWS Config 】ルール違反リソースの自動修正を設定してみた - APC 技術ブログ
とは AWS Config? - AWS Config
news.yahoo.co.jp
comic-days.com
www.kyoto-np.co.jp
rasu-bunbu.com
rei2.ht.gob.jp
x.com