タダです.
AWS Config でリソース変更履歴を追跡しないよう除外できるようになりました.これまでは変更を記録するリソースから除外したいリソースを抜いてあげる必要がありましたが,今回のアップデートで明示的に指定すれば除外してくれるようになりました.この記事では AWS Config のアップデートを検証したのでまとめていきます.
特定リソースの除外を設定する
ドキュメントに沿って AWS CLI で AWS::EC2::NetworkInterface
のみリソースの記録から除外してみます.実行は東京リージョンで予め Record all current and future resource types supported in this region, including globally recorded resource types.
で設定しておいたとします.
実行するコマンド
$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=[Config 用 IAM ロール ARN] --recording-group file://recordingGroup.json
インプットファイルの中身
{ "allSupported": false, "includeGlobalResourceTypes": false, "exclusionByResourceTypes": { "resourceTypes": ["AWS::EC2::NetworkInterface"] }, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" } }
しかし,東京リージョンで実行すると An error occurred (InvalidRecordingGroupException) when calling the PutConfigurationRecorder operation: Unknown parameter in ConfigurationRecorder.recordingGroup. It must be one of: allSupported, includeGlobalResourceTypes, resourceTypes.
というメッセージが表示されてリソースの除外ができませんでした(2023年6月16日時点).
東京リージョン以外で実行した場合はどうなるか
今回のアップデートを東京リージョン以外で実行するとどうなるのかを確認してみました.確認したリージョンと実行結果のサマリーをまとめます.2023年6月16日時点ですが,アジアとヨーロッパも一部を除いてその他のリージョンでは有効でした.
コマンドが成功した場合のプロンプトイメージ
$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=[Config 用 IAM ロール ARN] --recording-group file://recordingGroup.json (何も表示されない)
今回のアップデートが有効なリージョン(◯が有効,×が無効)
実行リージョン | 実行結果 |
---|---|
バージニア | ◯ |
オハイオ | ◯ |
北カリフォルニア | ◯ |
オレゴン | ◯ |
香港 | x |
ムンバイ | x |
大阪 | x |
東京 | × |
カナダ | x |
フランクフルト | ◯ |
アイルランド | ◯ |
ロンドン | ◯ |
パリ | ◯ |
ストックホルム | x |
サンパウロ | ◯ |
リソースの除外ができたリージョンでは GUI 上では See list of excluded resource types
に除外したリソースが表示されました.
まとめ
AWS Config の変更を追跡しないリソースを指定できるアップデートについて検証した内容をまとめました.