StackSetを利用して、別アカウントのAWS Config Ruleを有効化する
別アカウントのAWS Config Ruleを有効化したい
CloudFormationを利用して、別アカウントの設定を変更するのであればStackSetsを利用します。
StackSetsのサンプルをみると、Config Ruleを設定するサンプルテンプレートがあります。これを参考に、他のルールを有効化する時にどうやってテンプレートを作成するのかをまとめて置こうと思います。
環境の前提
今回の環境は、Organizationで同じOUに存在しているアカウントを対象としています。管理アカウントAから別アカウントBのConfig Ruleを有効化します。有効化するルールはマネージドのものを対象としています。
StackSetsのテンプレート作成方法
StackSetsのテンプレートはYAMLファイルで宣言的に行うのですが、順に作成方法ついて見ていきます。
Configの設定値
まず、テンプレートに記述する内容ですが、基本はConfig RuleをGUIから有効化しようとした時に出てくる画面の設定値になります。今回は例としてec2-stopped-instanceを選択してみます。ここでポイントになるのは、トリガーとルールのパラメータです。これは、トリガーが設定変更の時と定期的の2パターンのケースがあるためです。そしてルールのパラメータもある場合と無い場合があります。
つまり、パターンとしては下記4つに分けることができます。今回は2と3について見ていきたいと思います。
- 設定変更 + パラメータ有り
- 設定変更 + パラメータ無し
- 定期的 + パラメータ有り
- 定期的 + パラメータ無し
YAMLの全体
先程説明した番号の3に該当するec2-stopped-instanceを有効化するYAMLを見ていきましょう。ここでするのは、ルールを有効化することに対する説明なので全体の説明はせず対象に絞って説明します。
AWSTemplateFormatVersion: 2010-09-09
Description: Enables an AWS Config rules
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Common Configuration
Parameters:
- Frequency
- Label:
default: Rule ec2-stopped-instance Configuration
Parameters:
- AllowedDays
ParameterLabels:
Frequency:
default: Frequency
AllowedDays:
default: AllowedDays
Parameters:
AllowedDays:
Type: String
Description: "[Option] The number of days an ec2 instance can be stopped before it is NON_COMPLIANT."
Default: 30
Frequency:
Type: String
Default: 24hours
Description: Maximum rule execution frequency
AllowedValues:
- 1hour
- 3hours
- 6hours
- 12hours
- 24hours
Conditions:
HasAllowedDays: !Not
- !Equals
- !Ref AllowedDays
- ""
Mappings:
Settings:
FrequencyMap:
1hour : One_Hour
3hours : Three_Hours
6hours : Six_Hours
12hours : Twelve_Hours
24hours : TwentyFour_Hours
Resources:
CheckForStoppedInstances:
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: CheckForStoppedInstances
Description: Checks whether there are instances stopped for more than the allowed number of days.
MaximumExecutionFrequency: !FindInMap
- Settings
- FrequencyMap
- !Ref Frequency
Source:
Owner: AWS
SourceIdentifier: EC2_STOPPED_INSTANCE
InputParameters:
AllowedDays: !If
- HasAllowedDays
- !Ref AllowedDays
- !Ref AWS::NoValue
ここでルールを定義しているのはResource句になります。これは定期的なのでどれぐらいの間隔でルールを確認するか決める必要があります。それを設定しているのがMaximumExecutionFrequencyです。上の方を見るとわかりますが5つの選択肢から選びます。SourceのSourceIdentifierで実際にどのマネージドルールを対象とするかを記述します。そして、InputParametersでパラメータを指定します。これも上のParameters句に記述があります。
つまり、まとめると定期的+パラメータ有りの場合、定期的に必要なパラメータはMaximumExecutionFrequencyでパラメータの設定に必要なのはInputParametersであることがわかります。それ以外は設定変更+パラメータ無しでも同じです。
Resources:
CheckForStoppedInstances:
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: CheckForStoppedInstances
Description: Checks whether there are instances stopped for more than the allowed number of days.
MaximumExecutionFrequency: !FindInMap
- Settings
- FrequencyMap
- !Ref Frequency
Source:
Owner: AWS
SourceIdentifier: EC2_STOPPED_INSTANCE
InputParameters:
AllowedDays: !If
- HasAllowedDays
- !Ref AllowedDays
- !Ref AWS::NoValue
ただ、毎回ルールのGUIを確認するのもめんどくさいので、必要なパラメータなどは下記URLで確認することも可能です。
次に、設定変更+パラメータ無しについて確認します。これはeip-attachedを例として見ていきます。今回はGUIではなく上記ドキュメントを確認していきます。
- 識別子:EIP_ATTACHED
- トリガータイプ:設定変更
- パラメータ:なし
このあたりを参照すればテンプレートは作成できます。いくつかわかりやすいポイントとしてMaximumExecutionFrequencyとInputParametersがなくなりました。このルールでは不要のため記述しません。ただ、新しくでてきたのがScopeです。
Resources:
CheckForEIPAttached:
Type: AWS::Config::ConfigRule
Properties:
Description: Checks whether all EIP addresses allocated to a VPC are attached to EC2 instances or in-use ENIs.
Source:
Owner: AWS
SourceIdentifier: EIP_ATTACHED
Scope:
ComplianceResourceTypes:
- AWS::EC2::EIP
実際にルールをGUIで確認すると下記のようになっています。
設定変更の場合、対象となるリソースを指定する必要があります。下記から確認していただければと思いますが、GUI画面で見たものを転記したほうが確実だと思います。今回はAWS::EC2::EIPです。
以上から、設定変更+パラメータ無しをまとめると。設定変更ではScopeで対象リソースを指定する必要がありInputParametersの記述は不要である、となります。
あとは、これをStackSetsで展開すれば完了です。別アカウントでルールが有効化されているはずです。
まとめ
これに関連する修復オプションのテンプレート記述方法についてまとめたいと思います。
Discussion