proxmox.blog

特定の種類のリソースだけを記録するなど、細かい対象範囲を設定できる。全リソースを監視したい場合は全部オンにするけど、コストや運用ポリシーに合わせて一部だけ拾う選択も可能。

よくあるセキュリティや運用ルールを“パッケージ化”して用意してくれてる。たとえば“バケットは暗号化必須”といったルールをワンクリックで適用できる。初心者でもすぐ使い始められてありがたいんだ。

自分でLambdaを書いて独自のルールを作れる。例えば“EC2インスタンス名に必ずチーム名を含める”など、AWS標準のルールにないものを自由に定義して、自動で守らせることができるんだ。

定期的にチェックする“Periodic”と、変更があったときにチェックする“Triggered”を使い分けできる。変化が頻繁じゃないならTriggeredで即時に確認したり、定期チェックでゆるく検証するのもあり。

何かのリソースが変更されたらSNSで通知してくれる。すぐに気づいて対処できるから、誤って設定を触ってシステムが落ちるリスクを減らせる。リアルタイムに追跡したい場面で便利。

Organizations連携やAggregator機能を使って、全アカウント・全リージョンのリソース情報を集約できる。国際的に展開する会社でも、Configを使えば手軽にグローバル統一の監視ができるんだ。

一定のタイミングで“今の全リソースの状態”をまとめて出力できる機能。定期的にスナップショットを保存しておけば、さらに昔の環境に巻き戻す参考にしたり、監査証拠として使えるんだ。

SQLっぽい構文で“今、全てのEC2インスタンスの状態はどうなってる？”なんて一気に検索できる機能。複数リソースにまたがる質問もまとめて返してくれるから、運用現場で一覧を作るのが簡単になるんだ。

複数のアカウントやリージョンのConfig情報を1箇所に集めて、一括で状況を監視する。大企業がいくつものAWSアカウントを使うときでも、集中管理できるから、全体のコンプライアンスを見落とさずにチェックできるんだ。

ルール違反が見つかったとき、自動で直す作業(例えば“公開バケットをすぐに非公開にする”)を実行してくれる。人が気づく前に問題を修正してセキュリティを保てるから、ミスを防ぐのに有効だね。