AWS Config勉強会

Transcript

1. AWS Config 勉強会 2022.10.17 AWS事業本部 コンサルティング部 yhana

2. 2 もくじ 1. AWS CloudTrail と AWS Config の違い 2.

   AWS Config ルール 3. AWS Config のマルチアカウント管理 4. AWS CloudFormation Guard を⽤いたカスタムルール AWS Config の 基本的な内容

3. 3 AWS CloudTrail と AWS Config の違い

4. 4 AWS CloudTrail のログ ユーザーの操作は API を通じて実⾏される Amazon VPC API

   AWS CLI AWS Management Console AWS SDKs

5. 5 AWS CloudTrail のログ ユーザーの操作は API を通じて実⾏される AWS CloudTrail のログは

   API イベントを記録 Amazon VPC API AWS CLI AWS Management Console AWS SDKs

6. 6 AWS CloudTrail のログ AWS CloudTrail のログ - CreateVpc (1/4)

   「誰が」 「いつ」 「何を」

7. 7 AWS CloudTrail のログ AWS CloudTrail のログ - CreateVpc (2/4)

   APIのリクエストパラメータ

8. 8 AWS CloudTrail のログ AWS CloudTrail のログ - CreateVpc (3/4)

   APIの応答内容

9. 9 AWS CloudTrail のログ AWS CloudTrail のログ - CreateVpc (4/4)

10. 10 API リファレンス API リファレンスの公開場所 AWS Documentation Amazon VPC の

    API リファレンス Amazon VPC API リファレンス

11. 11 AWS Config の Snapshot AWS Config のログは、AWS リソースの設定情報（Snapshot） Amazon

    VPC API AWS Config のログはリソースの設定情報（Snapshot） AWS CLI AWS Management Console AWS SDKs

12. 12 AWS Config の Snapshot Amazon VPC の Snapshot –

    AWS EC2 VPC 1/2 関連付けされているリソース (ネットワークACL、SG、ルートテーブル)

13. 13 AWS Config の Snapshot Amazon VPC の Snapshot –

    AWS EC2 VPC 2/2 設定情報（Configuration） 設定が変更された場合は Configuration が更新される

14. 14 AWS Config の Snapshot AWS Config の Snapshot は定期的または設定変更トリガーで作成される

    API API API Snapshot Amazon VPC AWS Config 作成 設定変更 削除 Snapshot Snapshot Management Console

15. 15 AWS Config の Snapshot AWS Config の Snapshot は定期的または設定変更トリガーで作成される

    API API API Snapshot Amazon VPC AWS Config 作成 設定変更 削除 Snapshot Snapshot Management Console タイムライン機能で確認できる

16. 16 AWS Config のタイムライン機能 ライムライン機能は時系列で設定情報の変更を確認できる test-user test-user test-user

17. 17 AWS Config のタイムライン表⽰ test-user 設定変更の詳細

18. 18 AWS Config のタイムライン表⽰ 設定変更の内容（IPv6 CIDR 追加）

19. 19 タイムライン機能を利⽤した解析 タイムライン機能を利⽤した解析の流れの⼀例 １．AWS Config のタイムラインで障害の原因となった設定変更を調べる ２．設定変更を⾏った API イベントを CloudTrail

    ログからを調べる ３．CloudTrail ログから Principal (IAM ユーザー、IAM ロールなど) を特定 ４．（必要に応じて）設定変更者にヒアリング ５．対処

20. 20 AWS Config ルール

21. 21 AWS Config ルールとは AWS リソースの「設定情報」を評価する機能 評価基準に従い、 設定情報を評価（準拠 or ⾮準拠）を⾏う

    例えば、IPv6を利⽤していないかなど

22. 22 AWS Config ルールとは AWS Configルールの種類 種別 評価の実現⽅法 補⾜説明 マネージドルール

    -（AWSによって管理） マネージドルールのリスト カスタムルール AWS Lambda 最も柔軟な評価ができる AWS CloudFormation Guard ドメイン固有⾔語（Domain Specific Language） What is AWS CloudFormation Guard? 後で詳しく

23. 23 AWS Config ルールとは マネージドルールの例 [Tips] AWS Security Hub の評価は

    AWS Config ルールを利⽤ ルール名 説明 approved-amis-by-id 実⾏中のインスタンスで指定された AMI が使⽤されているかどう かを確認 ec2-instance-no-public-ip EC2 インスタンスにパブリック IP の関連付けがあるかどうかを確 認 restricted-ssh セキュリティグループの受信 SSHトラフィックの IP アドレスが制 限されているか

24. 24 AWS Config ルールとは Config ルールの評価結果画⾯（ルール⼀覧）

25. 25 AWS Config ルールとは Config ルールの評価結果画⾯（１つのルールの評価）

26. 26 AWS Config のマルチアカウント管理

27. 27 AWS Config のマルチアカウント管理 マルチアカウントで管理する対象 集約対象 ⽬的 集約⽅法 Snapshot 監査など

    集約アカウントの S3 に保管 AWS Configルールの評価結果 AWS環境チェック AWS Config アグリゲータ機能で集約

28. 28 AWS Config のマルチアカウント管理 構成例

29. 29 アグリゲータ設定後のルール評価結果の確認 各アカウントの評価結果を⼀元管理できる

30. 30 AWS Organizations における Config ルールの⼀括設定 AWS Organizations 環境では組織内のアカウントに対して Config

    ルールを 管理アカウントまたは委任先アカウントから⼀括で設定できる https://dev.classmethod.jp/articl es/deploy-config-rules-in- organization-member-account/ https://dev.classmethod.jp/articl es/deploy-aws-config-custom- rule-across-an-organization/

31. 31 AWS CloudFormation Guard を⽤いた カスタムルール

32. 32 AWS CloudFormation Guard とは AWS CloudFormation Guard は オープンソースのドメイン固有⾔語

    (DSL : Domain Specific Language) 始めは CloudFormation テンプレートのポリシールールを記述するための機能 AWS CloudFormation Guard 2.1 の⼀般提供が開始 2022年8⽉に Config ルールにも対応したことを発表 AWS CloudFormation Guard を使⽤した AWS Config ルールの作成

33. 33 AWS CloudFormation Guard によるチェック CloudFormation Guard で Config の

    Snapshot を評価するルールを記載する rule vpc_dhcp_option_check { configuration.dhcpOptionsId == "dopt-0024732f85497bcd2" } DHCPオプションセットの値をチェック

34. 34 AWS CloudFormation Guard 関連ドキュメント ⽂法に関するドキュメント GitHub cloudformation-guard/docs at main

    · aws-cloudformation/cloudformation-guard AWSユーザーガイド Getting started with AWS CloudFormation Guard - AWS CloudFormation Guard サンプルプログラム（CloudFormationテンプレートが対象） GitHub cloudformation-guard/guard-examples at main · aws- cloudformation/cloudformation-guard

35. 35 Config カスタムルール作成の流れ カスタムルール作成の流れ １．評価対象の設定項⽬（Snapshot）の把握 ２．評価対象の抽出 ３．評価ルールの作成 ４．テスト（ローカル環境） ５．Configルールの設定

36. 36 １．評価対象の設定項⽬の把握

37. 37 評価対象の設定項⽬（Snapshot）の把握 評価対象のリソースの Snapshot を確認する（AWS CLI でも可能）

38. 38 評価対象の設定項⽬（Snapshot）の把握 まずは設定項⽬から評価できる対象を把握する 関連リソースを 評価したい場合 設定内容を 評価したい場合

39. 39 ２．評価対象の抽出

40. 40 評価対象の抽出 評価対象を抽出（単独の項⽬） configuration.dhcpOptionsId ドット区切りで設定項⽬を指定

41. 41 評価対象の抽出 評価対象を抽出（配列） Relationships[*] ここから更にループ処理等で評価を⾏う

42. 42 評価対象の抽出 評価対象を抽出（配列） Relationships[*].resourceType

43. 43 評価対象の抽出 評価対象を抽出（配列） Relationships[resourceType == "AWS::EC2::SecurityGroup"]

44. 44 評価対象の抽出 リソースの抽出⽅法の詳細はドキュメントを確認する cloudformation-guard/docs at main · aws-cloudformation/cloudformation-guard Defining queries

    and filtering - AWS CloudFormation Guard AWS CLI の query オプションで利⽤されている JMESPath とは異なる 例えば、JMESPath のように [2..4] のような指定はできない

45. 45 ３．評価ルールの作成

46. 46 評価ルールを作成 評価対象と指定値を⽐較する configuration.dhcpOptionsId == "dopt-0024732f85497bcd2" rule vpc_dhcp_option_check { configuration.dhcpOptionsId

    == "dopt-0024732f85497bcd2" } ルールブロックを活⽤ ルールブロックにより ・ブロック内の複数の条件をカプセル化できる ・評価結果の再利⽤ができる ・デバッグログにルール名が残って分かりやすい 指定したIDに⼀致すれば 準拠

47. 47 評価ルールを作成 ルールブロックを複数組み合わせる場合 詳細は⽂法ドキュメントを参照 https://github.com/aws-cloudformation/cloudformation-guard/blob/main/docs/CLAUSES.md Writing AWS CloudFormation Guard rules

    - AWS CloudFormation Guard rule check-1 rule check-2 check-1 and check-2 （暗黙の and 評価） rule check-1 rule check-2 when check-1 もし check-1 が「true」なら check2 （check-1 を再利⽤） rule check-1 or rule check-2 check-1 or check-2 （or 評価は明⽰的に記載）

48. 48 評価ルールを作成 評価対象の値の存在を確認する configuration.ipv6CidrBlockAssociationSet empty rule vpc_ipv6_not_enabled { configuration.ipv6CidrBlockAssociationSet empty

    } ルールブロックを活⽤ 値が空の場合は 準拠

49. 49 評価ルールを作成 利⽤できる演算⼦ 詳細は⽂法ドキュメントを参照 https://github.com/aws-cloudformation/cloudformation-guard/blob/main/docs/CLAUSES.md Writing AWS CloudFormation Guard rules

    - AWS CloudFormation Guard 単項演算⼦ 説明 exists 値が存在するか empty 空であるか is_string stringタイプかどうか is_list listタイプかどうか is_struct structタイプかどうか ! 否定（例︓!empty） ⼆項演算⼦ 説明 == Equal != Not Equal > Greater Than >= Greater Than Or Equal To < Less Than <= Less Than Or Equal To IN In a list of form [x, y, z]

50. 50 評価ルールを作成 評価対象をループ処理で確認する let vpc_relationships = relationships[*] rule vpc_without_igw {

    %vpc_relationships.resourceType != "AWS::EC2::InternetGateway" } InternetGateway の関連付けがなければ 準拠

51. 51 評価ルールを作成 let で変数を定義、% で参照する 変数の利⽤例 - 絞り込んだ評価対象の設定項⽬の格納（上記の例） - 評価対象と⽐較する値の格納（例︓let

    resource_type = "AWS::EC2::InternetGateway"） 変数名はスネークケースが推奨されている（アンダースコア区切り） let vpc_relationships = relationships[*] rule vpc_without_igw { %vpc_relationships.resourceType != "AWS::EC2::InternetGateway" }

52. 52 評価ルールを作成 配列に対しては暗黙のループ処理が⾏われる let vpc_relationships = relationships[*] rule vpc_without_igw {

    %vpc_relationships.resourceType != "AWS::EC2::InternetGateway" } 配列内のすべての resourcesType が評価される

53. 53 ４．テスト

54. 54 テスト機能 ローカルでテストできる「Unit Testing（単体テスト）」機能が提供されている Config ルールを設定して動作確認する前にローカル環境でテストできる Unit Testing に関するドキュメント cloudformation-guard/UNIT_TESTING.md

    at main · aws-cloudformation/cloudformation-guard Testing AWS CloudFormation Guard rules - AWS CloudFormation Guard テスト環境のインストール⽅法 https://github.com/aws-cloudformation/cloudformation-guard#installation Installing AWS CloudFormation Guard - AWS CloudFormation Guard

55. 55 テスト機能 単体テストのために⽤意するファイル １．AWS CloudFormation Guard ルールファイル ２．単体テストファイル（.json または .yaml）

    rule vpc_dhcp_option_check { configuration.dhcpOptionsId == "dopt-0024732f85497bcd2" } --- - name: MyTest input: expectations: rules: vpc_dhcp_option_check: FAIL #1 vpc_dhcp_option_check.guard #2 vpc_dhcp_option_check_test.yaml AWS Config の評価したい Snapshot を yaml として転記 DHCPオプションセットが指定値かどうかを 確認（指定値と⼀致する場合は準拠） 1ファイルに複数のテストの記載も可能

56. 56 テストの実⾏ テスト結果（期待は⾮準拠、結果も⾮準拠 = DHCPオプションセットが指定したIDと異なる） テスト結果（期待は⾮準拠、結果は準拠 = DHCPオプションセットが指定したIDと⼀致） $ cfn-guard

    test --rules-file vpc_dhcp_option_check.guard --test-data vpc_dhcp_option_check_test.yaml Test Case #1 Name: "MyTest" PASS Rules: vpc_dhcp_option_check: Expected = FAIL $ cfn-guard test --rules-file vpc_dhcp_option_check.guard --test-data vpc_dhcp_option_check_test.yaml Test Case #1 Name: "MyTest" FAIL Rules: vpc_dhcp_option_check: Expected = FAIL, Evaluated = [PASS]

57. 57 テストの実⾏ --verbose / -v で詳細表⽰ $ cfn-guard test --rules-file

    vpc_dhcp_option_check.guard --test-data vpc_dhcp_option_check_test.yaml --verbose Test Case #1 Name: "MyTest" `- File(, Status=PASS)[Context=File(rules=1)] `- Rule(vpc_dhcp_option_check, Status=PASS)[Context=vpc_dhcp_option_check] `- GuardClauseBlock(Status = PASS)[Context=GuardAccessClause#block configuration.dhcpOptionsId EQUALS "dopt-0024732f85497bcd2"] `- GuardClauseValueCheck(Status=PASS)[Context= configuration.dhcpOptionsId EQUALS "dopt-0024732f85497bcd2"] FAIL Rules: vpc_dhcp_option_check: Expected = FAIL, Evaluated = [PASS]

58. 58 テスト機能の関連ブログ 単体テストを試してみたブログ https://dev.classmethod.jp/ar ticles/aws-cloudformation- guard-unit-testing/

59. 59 ５．Config ルールの設定

60. 60 Config ルールの設定 マネジメントコンソールの設定の流れ ルールタイプは Guard を選択

61. 61 Config ルールの設定 名前とルールを⼊⼒、デバッグログ有効で CloudWatch Logs に出⼒

62. 62 Config ルールの設定 今回の場合は、リソースとして評価対象の「AWS EC2 VPC」を選択 パラメータは未利⽤のため未⼊⼒

63. 63 Config ルールの設定 評価結果の確認

64. 64 デバッグログの確認 デバッグログ（CloudWatch Logs）の確認

65. 65 デバッグログの確認 ConfigRuleId: config-rule-ne7dou, ResourceType: AWS::EC2::VPC, ResourceId: vpc-057355bebd0cc89b2 { "not_compliant":

    { "vpc_without_igw": [ { "rule": "vpc_without_igw", "path": "/relationships/7/resourceType", "provided": "AWS::EC2::InternetGateway", "expected": "AWS::EC2::InternetGateway", "comparison": { "operator": "Eq", "not_operator_exists": true }, "message": "" } ] }, "not_applicable": [], "compliant": [] } ConfigRuleId: config-rule-ne7dou, ResourceType: AWS::EC2::VPC, ResourceId: vpc-0636fc95b3cf20d33 { "not_compliant": {}, "not_applicable": [], "compliant": [ "vpc_without_igw" ] } ⾮準拠のログ 準拠のログ

66. 66 Config ルールの設定⼿段 単独アカウントの主な設定⼿段 - マネジメントコンソール - AWS CLI -

    AWS CloudFormation（StackSetsで複数アカウントに展開可能） AWS Organizations の機能を⽤いた組織全体への展開 - AWS CLI（※1） - AWS CloudFormation（※2） ※1 設定⽅法は「AWS Config のマルチアカウント管理」で紹介しているブログを参照 ※2 CloudFormation Guard を利⽤したカスタムルールは現状未対応

67. 67 補⾜情報

68. 68 紹介できていないルールの記載⽅法 これまで紹介した以外に次のルールも記載可能 - 複数の rule ブロックを組み合わせたルール - ⼊⼒パラメータの利⽤ -

    正規表現を⽤いた評価 上記の例はブログでも紹介 https://dev.classmethod.jp/articles/config-custom-rules-using-cloudformation-guard-for-vpc/

69. 69 CloudFormation Guard で対応できないこと 1つの設定項⽬（Snapshot）に閉じない評価は AWS Lambda ルールを利⽤する できることの例 特定の

    Route Table がアタッチされているか (Route Table の ID をチェックする) できないことの例 評価対象の VPC にアタッチされている Route Table にインターネットへの経路があるか (アタッチされている Route Table のルート情報 を取得してチェックすることはできない) Route Table を評価対象として IGW のアタッチ があるかを確認することはできる VPCの設定項⽬の⼀部

70. 70 さいごに Config ルールの導⼊の前に⼀度検討してみること 予防的ガードレール（利⽤制限）で対応できないかを始めに検討 - SCP (Service Control Policy)

    - IAM ポリシー 禁⽌まではしないがリスクとして把握しておきたいこと、 SCP では対応が難しい内容の確認、などの場合に Config ルールを活⽤
71. None