AWS Config

概要

AWS Config は、ご使用の AWS アカウント内の AWS リソースの構成を詳細に可視化します。 これには、リソース同士の関係や過去の構成内容が含まれるため、 時間の経過に伴う構成とリレーションシップの変化を確認できます。

このインテグレーションを有効化すると、Datadog で AWS Config のすべてのメトリクスを確認できます。AWS Config によって検出された構成変更は、Events を使用して監視します。

セットアップ

インストール

まだ設定していない場合は、まず Amazon Web Services インテグレーション をセットアップしてください。

リソース変更の収集

プレビューに参加しよう!

リソース変更の収集 はプレビューですが、簡単にアクセスをリクエストできます。今すぐこのフォームから申請してください。

Request Access

AWS Config が構成スナップショットや履歴の変更を検出すると、Datadog でイベントを受信できます。以下の CloudFormation スタックで必要なリソースを作成・構成するか、Amazon Data Firehose を手動で設定して AWS Config イベントを転送してください。

    Datadog と AWS Config データの共有を開始するには、config-changes-datadog Terraform module を使用できます。導入用のサンプルや、指定可能な各パラメーターの詳細な説明については、terraform-aws-config-changes-datadog repo を参照してください。

    Launch Stack

    : Datadog アカウントが US1Datadog サイト 以外にある場合は、使用している Datadog サイトに対応する DatadogSite の値を選択してください。

    Datadog サイトDatadogSite の値
    EUdatadoghq.eu
    US3us3.datadoghq.com
    US5us5.datadoghq.com
    AP1ap1.datadoghq.com

    Amazon Data Firehose を介して AWS Config のイベントを手動で転送するには、次の手順に従って設定します。

    前提条件

    1. Datadog と統合済みの AWS アカウント。
      • Datadog インテグレーションの IAM ロールは、Config データが入っているバケットに対して s3:GetObject 権限を持っている必要があります。
    2. AWS Config イベントを受信するための SNS トピック が設定されていること。
    3. 256 kB を超えるイベントをバックアップとして受け取るための S3 バケット が設定されていること。
    4. Access key が設定されていること。Datadog API key を用意してください。

    Amazon Data Firehose ストリームを作成する

    1. AWS Console で Create Firehose stream をクリックします。
      • Source には Direct PUT を選択します。
      • Destination には Datadog を選択します。
    2. Destination settings セクションで、使用中の Datadog サイト に対応する HTTP endpoint URL を選択します:
    Datadog サイトDestination URL
    US1https://cloudplatform-intake.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    US3https://cloudplatform-intake.us3.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    US5https://cloudplatform-intake.us5.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    EUhttps://cloudplatform-intake.datadoghq.eu/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    AP1https://cloudplatform-intake.ap1.datadoghq.com/api/v2/cloudchanges?dd-protocol=aws-kinesis-firehose
    1. Authentication には Datadog API key の値を入力するか、その値を含む AWS Secrets Manager secret を選択します。
    2. Content encoding には GZIP を入力します。
    3. Retry duration には 300 を入力します。
    4. Add parameter をクリックします。
      • Key には dd-s3-bucket-auth-account-id を入力します。
      • Value には 12 桁の AWS アカウント ID を入力します。
    5. Buffer hintsBuffer size4 MiB に設定します。
    6. Backup settings で S3 バックアップ バケットを選択します。
    7. Create Firehose stream をクリックします。

    AWS Config の配信方法を構成する

    1. AWS Config ページ で、左側のパネルを開き Settings をクリックします。
    2. Edit をクリックします。
    3. Delivery method セクションで、256 kB を超えるイベントをバックアップとして受け取るための S3 バケットを選択または作成します。
    4. Amazon SNS topic のチェックボックスをオンにし、AWS Config イベントを受け取るための SNS トピックを選択または作成します。
    5. Save をクリックします。

    Amazon Data Firehose ストリームを SNS トピックにサブスクライブさせる

    1. SNS Developer Guide の手順に従います。Subscription role に次の権限があることを確認します:
      • firehose:DescribeDeliveryStream
      • firehose:ListDeliveryStreams
      • firehose:ListTagsForDeliveryStream
      • firehose:PutRecord
      • firehose:PutRecordBatch
    2. Firehose の Monitoring タブで Datadog へのデータ フローを確認します。

    メトリクス収集

    1. AWS インテグレーション ページ で、Metric Collection タブの Config が有効になっていることを確認します。
    2. Datadog - AWS Config integration をインストールします。

    収集されるデータ

    メトリクス

    検証

    Resource Catalog のリソースのサイド パネルにある Recent Changes タブで、構成変更を確認します。また、Event Management page に移動して source:amazon_config をクエリし、Datadog アカウントにデータが取り込まれていることを検証できます。

    サービスチェック

    AWS Config インテグレーションには、サービスのチェック機能は含まれません。

    トラブルシューティング

    ご不明な点は、Datadog のサポートチームまでお問い合わせください。

    その他の参考資料

    お役に立つドキュメント、リンクや記事: