テレメトリ有効化ルールの使用 - Amazon CloudWatch
有効化ルールと AWS Config の統合有効化ルールの動作についてテレメトリ有効化ルールの作成テレメトリルールの管理テレメトリ設定のトラブルシューティング

テレメトリ有効化ルールの使用

テレメトリ有効化ルールを作成することで、AWS リソースのテレメトリ収集を自動的に設定できます。ルールは、組織またはアカウント全体でテレメトリ収集を標準化し、一貫したモニタリングカバレッジを確保するのに役立ちます。

有効化ルールと AWS Config の統合

CloudWatch のテレメトリ監査および設定は AWS Config と統合され、有効化ルールに一致するリソースを自動的に検出し、それをテレメトリデータ収集に適用します。有効化ルールを作成すると、テレメトリ設定によって対応する AWS Config レコーダーが作成されます。このレコーダーには、有効化ルールで定義した特定のリソースタイプの設定項目が含まれます。

テレメトリ設定は、追加コストなしで有効にできます。有効化ルールを使用してテレメトリを自動的に管理する場合、AWS Config の料金は、有効化ルールで指定したリソースタイプに対して記録された設定項目の数に基づいて適用されます。詳細については、「AWS Config 料金表」を参照してください。

注記

特定のリソースタイプに対する設定項目の記録が AWS Config ですでに有効にされている場合、再課金されることはありません。

テレメトリ設定では、AWS Config を使用して以下を実行します。

  • 組織またはアカウント全体でリソースを検出する

  • テレメトリ設定の変更を追跡する

有効化ルールの動作について

テレメトリ設定は、ルールを評価および適用する際に特定のパターンに従います。

有効化ルールは、階層パターンに従って評価されます。最初に組織ルールが評価され、次に組織単位 (OU) に適用されるルール、最後に個々のアカウントに適用されるルールが評価されます。組織レベルのルールは、組織に必要なベースラインテレメトリを提供します。OU およびアカウントレベルのルールによって追加のテレメトリデータを収集することはできますが、収集するテレメトリデータを減らすことはできません。このようなルールが作成された場合、ルールの競合が発生します。

各スコープ (組織、OU、またはアカウント) 内で、ルールはリソースタイプ、テレメトリタイプ、および宛先設定に基づいて一意性を維持する必要があります。ルールが重複すると、競合例外がトリガーされます。例えば CloudWatch への VPC フローログに関する組織レベルのルールと VPC フローログに関する OU レベルのルールが存在するなど、同じルールが異なるスコープに存在する場合は、階層内で上位のルールが適用されます。ただし、複数のルールが競合している場合は、いずれのルールも適用されません。

VPC フローログの場合、テレメトリ設定は、ルールのスコープに一致するリソースに対してのみ新しいフローログを作成します。現在のルールパラメータと異なっている場合でも、以前に確立された VPC フローログを削除したり、影響を及ぼしたりすることはありません。CloudWatch Logs の場合、既存のロググループは、リソースパターンと一致している場合に限り維持されます。

有効化ルールを更新した場合、そのルールに一致する新しいリソースのみが更新された設定を採用し、既存のリソースについては既存のテレメトリ設定が変更されずに残ります。テレメトリデータの手動削除によってリソースが既存のルールに準拠しなくなった場合、そのリソースが準拠状態に戻ると新しい有効化ルールが適用されます。

テレメトリ有効化ルールの作成

テレメトリ有効化ルールを作成する際には、以下を指定します。

  • ルールのスコープ (組織、組織単位、またはアカウント)

  • ルールが適用されるリソースタイプ

  • 有効化するテレメトリタイプ (メトリクス、ログ、またはトレース)

  • ルールの対象となるリソースをフィルタリングするためのオプションのタグ

テレメトリ有効化ルールを作成する手順

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[テレメトリの設定] を選択します。

  3. [有効化ルール] タブを選択します。

  4. [ルールを追加] を選択してください。

  5. [ルール名] にルールの名前を入力します。

  6. [ルールのスコープ] で、以下のいずれかを選択します。

    • [組織] - ルールは AWS Organizations 全体に適用されます。

    • [組織単位] - ルールは特定の OU に適用されます。

    • [アカウント] - ルールは単一のアカウントに適用されます。

  7. [データソース] で、設定する AWS サービスを選択します。

  8. [テレメトリタイプ] で、有効にするテレメトリのタイプを選択します。

  9. オプション: タグを追加して、ルールの対象となるリソースをフィルタリングします。

  10. [Create rule] を選択してください。

テレメトリルールの管理

ルールを作成した後、それらのルールを編集または削除できます。各ルールの対象となっているリソースを表示したり、ルールのコンプライアンスを監視したりすることもできます。

既存のルールを管理する手順

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[テレメトリの設定] を選択します。

  3. [有効化ルール] タブを選択します。

  4. ルールを選択して詳細を表示したり、次のいずれかのアクションを選択したりします。

    • [編集] - ルールの設定を変更します。

    • [削除] - ルールを削除します。

テレメトリ設定のトラブルシューティング

このセクションでは、テレメトリ設定を使用する際に発生する可能性がある一般的な問題と、その解決方法について説明します。

ルールの競合と解決策

同じリソースに複数のルールが適用された場合、テレメトリ設定は、次の優先順位で競合を解決します。

  1. 組織レベルのルールがアカウントレベルのルールより優先される

  2. より具体的なタグ一致が一般的なルールより優先される

  3. 競合する複数のルールがあり、いずれのルールも適用されない場合は、まず競合を解決する必要があります。

一般的な問題

リソースが検出に表示されない

以下を確認してください。

  • リソースタイプがサポートされている

  • AWS Config レコーダーが有効になっている

  • 適切な IAM アクセス許可がある

自動的にルールが適用されない

以下を確認してください。

  • ルールのスコープ設定

  • タグフィルター

サービス固有の考慮事項

Amazon VPC フローログ

フローログの作成時:

  • いずれも指定しない場合はデフォルトのパターン /aws/vpc/vpc-id を使用する

  • お客様が作成した既存のフローログは保持される

  • ルールの更新は新しいフローログにのみ影響する