こんばんは。小寺です。Configから特定のリソースタイプについて、記録から対象外として除外できるようになりました。

https://aws.amazon.com/about-aws/whats-new/2023/06/aws-config-recording-exclusions-resource-type/

AWS Configとは

AWS Configとは、AWSリソースの設定から、AWSリソースの構成情報のスナップショットを取得し、管理するサービスです。
この構成情報を元に、現状のAWSリソースの設定が、利用者によって定義された正しい状態になっているか評価し、変更管理を行います。
AWSリソースの設定変更の記録を行い、その設定に対し問題がないかチェックし、問題がある場合はメール通知や修正対応ができます。

以下の対応が対応ができます。
・AWS リソースの設定が最適な設定であるかどうかを評価する。
・AWS アカウントに関連付けられているサポート対象リソースの現在の設定のスナップショットを取得する。
・アカウント内にある 1 つ以上のリソースの設定を取得する。
・1 つ以上のリソースの設定履歴を取得する。
・リソースが作成、変更、または削除されるたびに通知を受け取る。
・リソース間の関係を表示する (特定のセキュリティグループを使用するすべてのリソースを確認する場合など)。

また、AWS Configでチェックした結果については、S3バケットに定期的に送信し、Amazon SNS トピックから通知を行います。

アップデート内容

AWS Configの設定変更の追跡からリソースタイプの除外がサポートされるようになりました。今後追加されるリソースも含め、今、AWS Config で利用可能な全てのサポート対象のリソース タイプを引き続き追跡しながら、特定のタイプの AWS リソースをインベントリ追跡とコンプライアンス監視から除外することができるようになっています!

結果としてコンプライアンスおよびガバナンス標準の対象を自社で確定させることができ、管理に集中できるようになります!とのことです。

これまではリソースタイプの除外ができなかったので、全てを確認する必要があり、後は自動でリソースが作成・削除されるような外部サービスやAWS設計をしている場合にかなりConfigの利用料が高くなるという課題がありました。

そんな課題の解決にも繋がるアップデートですね。

確認してみる

対象外の設定方法は、APIの「PutConfigurationRecorder」を使って設定を行います。グローバルリソースの除外も合わせて指定ができます。

{
"ConfigurationRecorder": {
"name": "string",
"recordingGroup": {
"allSupported":false ,
"exclusionByResourceTypes": {
"resourceTypes": [ "対象サービス指定" ]
},
"includeGlobalResourceTypes": false,
"recordingStrategy": {
"useOnly": "EXCLUSION_BY_RESOURCE_TYPES"
},
"resourceTypes": [ "対象サービス指定" ]
},
"roleARN": "ロールARN指定"
}
}

CLIからaws configservice put-configuration-recorder コマンドで実行できます。

まとめ

Configから特定のリソースタイプについて、記録から対象外として除外 できるようになりました。今までの課金問題や管理ルールの整備にも良いと思います。何をもって除外したのか?理由など残しておくと、引継ぎやドキュメント化のときに分かりやすいかもしれないですね。