タダです.
AWS Config でリソース変更履歴を追跡しないよう除外できるようになりました.これまでは変更を記録するリソースから除外したいリソースを抜いてあげる必要がありましたが,今回のアップデートで明示的に指定すれば除外してくれるようになりました.この記事では AWS Config のアップデートを検証したのでまとめていきます.
特定リソースの除外を設定する
ドキュメントに沿って AWS CLI で AWS::EC2::NetworkInterface のみリソースの記録から除外してみます.実行は東京リージョンで予め Record all current and future resource types supported in this region, including globally recorded resource types. で設定しておいたとします.
実行するコマンド
$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=[Config 用 IAM ロール ARN] --recording-group file://recordingGroup.json
インプットファイルの中身
{ "allSupported": false, "includeGlobalResourceTypes": false, "exclusionByResourceTypes": { "resourceTypes": ["AWS::EC2::NetworkInterface"] }, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" } }
しかし,東京リージョンで実行すると An error occurred (InvalidRecordingGroupException) when calling the PutConfigurationRecorder operation: Unknown parameter in ConfigurationRecorder.recordingGroup. It must be one of: allSupported, includeGlobalResourceTypes, resourceTypes. というメッセージが表示されてリソースの除外ができませんでした(2023年6月16日時点).
東京リージョン以外で実行した場合はどうなるか
今回のアップデートを東京リージョン以外で実行するとどうなるのかを確認してみました.確認したリージョンと実行結果のサマリーをまとめます.2023年6月16日時点ですが,アジアとヨーロッパも一部を除いてその他のリージョンでは有効でした.
コマンドが成功した場合のプロンプトイメージ
$ aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=[Config 用 IAM ロール ARN] --recording-group file://recordingGroup.json (何も表示されない)
今回のアップデートが有効なリージョン(◯が有効,×が無効)
| 実行リージョン | 実行結果 |
|---|---|
| バージニア | ◯ |
| オハイオ | ◯ |
| 北カリフォルニア | ◯ |
| オレゴン | ◯ |
| 香港 | x |
| ムンバイ | x |
| 大阪 | x |
| 東京 | × |
| カナダ | x |
| フランクフルト | ◯ |
| アイルランド | ◯ |
| ロンドン | ◯ |
| パリ | ◯ |
| ストックホルム | x |
| サンパウロ | ◯ |
リソースの除外ができたリージョンでは GUI 上では See list of excluded resource types に除外したリソースが表示されました.
まとめ
AWS Config の変更を追跡しないリソースを指定できるアップデートについて検証した内容をまとめました.
