CloudWatch テレメトリ設定の監査
Amazon CloudWatch を使用して、CloudWatch コンソールの中央ビューから AWS リソースのテレメトリ設定の状態を検出して理解できます。これにより、アカウント内の複数のリソースタイプまたは Organizations 内の複数のアカウントにわたるテレメトリ収集設定を監査するプロセスが簡素化されます。統合ビューによって、テレメトリ設定を簡単に確認および管理できるため、AWS 環境全体で適切なモニタリングとデータ収集を確保できます。
CloudWatch は、次のタイプの AWS リソースタイプのテレメトリ設定を特定するのに役立ちます。
詳細なメトリクスを提供する Amazon EC2 インスタンス。詳細については、「Amazon EC2 ユーザーガイド」の「EC2 インスタンスの詳細モニタリングを管理する」を参照してください。
フローログを提供する Amazon VPC 仮想ネットワーク。詳細については「Amazon VPC ユーザーガイド」の「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。
トレースを提供する Lambda 関数。詳細については、「AWS X-Ray デベロッパーガイド」の「AWS X-Ray を使用して Lambda 関数呼び出しを視覚化する」を参照してください。
テレメトリ設定の監査を開始するには、まず AWS アカウントまたは組織のテレメトリ監査エクスペリエンスを有効にする必要があります。この機能を有効にすると、 リソースと関連するテレメトリ設定メタデータを検出する AWS Config サービスにリンクされた設定レコーダーが作成されます。詳細については、AWS Config 開発者ガイドの構成レコーダーを参照してください。
注記
AWS Config は、設定レコーダーの対象範囲内のリソースタイプに関係なく、反エントロピー動作として、アカウント内のすべてのリソースのインベントリを定期的に取得するか、検出します。インベントリには、削除されたリソースと、AWS Config が現在記録してないリソースが含まれます。この動作は、データ整合性を維持するのに役立ちます。
つまり、CloudWatch テレメトリ監査機能のサービスにリンクされた設定レコーダーは、3 つのリソースタイプ (Amazon EC2 インスタンス、Amazon EC2 VPC 仮想ネットワーク、Lambda 関数) を記録するように設定されていますが、AWS CloudTrail の ConfigResourceCompositionSession および AWSConfig-Describe からの呼び出しを記述する場合があります。詳細については、「AWS Config 開発者ガイド」の「Non-recorded Resources」を参照してください。
テレメトリ監査エクスペリエンスでは、この情報を使用して、リソースタイプレベルとより詳細なテレメトリ詳細レベルで設定ステータスを可視化します。フィルタを使用してリソースまたはテレメトリの詳細の表示をカスタマイズし、リソースのコンソールページから直接テレメトリ設定を変更できます。
テレメトリ監査エクスペリエンスを有効にしても、追加料金は発生しません。
