概要
AWS Config は、AWS アカウント内の AWS リソース構成を詳細に可視化します。
これには、リソース同士の関連性や過去にどのように設定されていたかも含まれるため、
構成や関連性が時間の経過とともにどう変化したかを確認できます。
このインテグレーションを有効にすると、AWS Config のすべてのメトリクスを Datadog で確認できます。イベント を使うと、AWS Config が検知した構成変更を監視できます。
セットアップ
インストール
まだ設定していない場合は、先に Amazon Web Services インテグレーション を設定してください。
リソース変更の収集
プレビューに参加!
リソース変更の収集 は現在 Preview ですが、簡単にアクセスを申請できます。このフォームから今すぐ申し込めます。
Request AccessAWS Config が構成スナップショットや履歴の変更を検知すると、Datadog でイベントを受け取れます。以下の CloudFormation スタックで必要なリソースを作成・設定するか、Amazon Data Firehose を手動で設定して AWS Config イベントを転送してください。
注: Datadog アカウントが US1 の Datadog サイト にない場合は、利用中の Datadog サイトに対応する DatadogSite の値を選択してください:
| Datadog サイト | DatadogSite の値 |
|---|
| EU | datadoghq.eu |
| US3 | us3.datadoghq.com |
| US5 | us5.datadoghq.com |
| AP1 | ap1.datadoghq.com |
以下の手順で、Amazon Data Firehose を使って AWS Config イベント転送を手動で設定します。
前提条件
- Datadog とインテグレーション済みの AWS アカウント
- Datadog インテグレーション用 IAM ロールに、Config データが格納されているバケットに対する
s3:GetObject 権限があること
- AWS Config イベントを受信するための SNS トピック を作成済みであること
- 256 kB を超えるイベントのバックアップ受信用に、S3 バケット を作成済みであること
- アクセス キー を作成済みであること。Datadog API キーも手元に用意してください。
Amazon Data Firehose stream を作成する
- AWS Console で Create Firehose stream をクリックします。
- Source には
Direct PUT を選択します。 - Destination には
Datadog を選択します。
- Destination settings セクションで、利用中の Datadog サイト に対応する HTTP endpoint URL を選択します:
| Datadog サイト | Destination URL |
|---|
| US1 | https://cloudplatform-intake.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose |
| US3 | https://cloudplatform-intake.us3.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose |
| US5 | https://cloudplatform-intake.us5.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose |
| EU | https://cloudplatform-intake.datadoghq.eu/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose |
| AP1 | https://cloudplatform-intake.ap1.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose |
- Authentication では、Datadog API key の値を入力するか、その値を保存した AWS Secrets Manager のシークレットを選択します。
- Content encoding には
GZIP を入力します。 - Retry duration には
300 を入力します。 - Add parameter をクリックします。
- Key には
dd-s3-bucket-auth-account-id を入力します。 - Value には 12 桁の AWS account ID を入力します。
- Buffer hints で Buffer size を
4 MiB に設定します。 - Backup settings で、S3 バックアップ バケットを選択します。
- Create Firehose stream をクリックします。
AWS Config の配信方法を設定する
- AWS Config page で左側のパネルを開き、Settings をクリックします。
- Edit をクリックします。
- Delivery method セクションで、256 kB を超えるイベントをバックアップとして受け取る S3 バケットを選択または作成します。
- Amazon SNS topic のチェック ボックスをオンにし、AWS Config イベントを受信する SNS topic を選択または作成します。
- Save をクリックします。
Amazon Data Firehose stream を SNS トピックにサブスクライブする
- SNS Developer Guide の手順に従って設定します。Subscription role には次の権限が必要です:
firehose:DescribeDeliveryStreamfirehose:ListDeliveryStreamsfirehose:ListTagsForDeliveryStreamfirehose:PutRecordfirehose:PutRecordBatch
- Firehose の Monitoring タブで、Datadog にデータが流れていることを確認します。
メトリクス収集
- AWS インテグレーション ページ の
Metric Collection タブで、Config が有効になっていることを確認します。 - Datadog - AWS Config インテグレーション をインストールします。
収集データ
メトリクス
| |
|---|
aws.config.configuration_recorder_insufficient_permissions_failure
(count) | 構成レコーダーに割り当てられた IAM ロール ポリシーの権限不足により発生した、権限アクセス失敗の回数 |
aws.config.configuration_items_recorded
(count) | 各リソース タイプ、またはすべてのリソース タイプについて記録された構成アイテム数
単位は item |
aws.config.config_history_export_failed
(count) | Amazon S3バケットへの構成履歴エクスポートに失敗した回数 |
aws.config.config_snapshot_export_failed
(count) | Amazon S3 バケットへの構成スナップショット エクスポートに失敗した回数 |
aws.config.change_notifications_delivery_failed
(count) | 配信チャネルの Amazon SNS トピックへの変更通知配信に失敗した回数 |
aws.config.compliance_score
(gauge) | コンフォーマンス パックにおいて準拠しているルールとリソースの組み合わせが、取り得る総組み合わせ数に占める割合
単位は percent |
検証
Resource Catalog のリソース サイド パネルにある Recent Changes タブで、構成変更を確認できます。また、Event Management ページ に移動し、source:amazon_config でクエリすると、データが Datadog アカウントに流入していることを確認できます。
サービス チェック
AWS Config インテグレーションにはサービス チェックは含まれません。
トラブルシューティング
サポートが必要な場合は、Datadog サポート にお問い合わせください。
参考資料
役立つドキュメント、リンク、記事:
