翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
によるリソースの評価 AWS Config ルール
使用アイテム AWS Config で の設定を評価するには AWS リソースの使用料金を見積もることができます。これを行うには、 を作成します。 AWS Config 理想的な構成設定を表す ルール。 AWS Config には、使用開始に役立つマネージドルールと呼ばれる、カスタマイズ可能な事前定義されたルールが用意されています。
方法 AWS Config ルールの作業
実行中 AWS Config は、リソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に準拠していないかどうかを確認します。リソースがルールに準拠していない場合は、 AWS Config は、リソースとルールを非準拠の としてフラグ付けします。以下は、 で考えられる評価結果です。 AWS Config ルール:
-
COMPLIANT- ルールはコンプライアンスチェックの条件を満たしています。 -
NON_COMPLIANT- ルールがコンプライアンスチェックの条件を満たしていません。 -
ERROR- 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 -
NOT_APPLICABLE- ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。
例えば、 EC2ボリュームが作成されると、 AWS Config は、ボリュームを暗号化する必要があるルールに対してボリュームを評価できます。ボリュームが暗号化されていない場合は、 AWS Config は、ボリュームとルールに非準拠のフラグを付けます。 AWS Config は、アカウント全体の要件についてすべてのリソースをチェックすることもできます。例えば、 などです AWS Config は、アカウント内のEC2ボリューム数が希望の合計内にとどまるかどうか、またはアカウントが を使用しているかどうかを確認できます。 AWS CloudTrail ログ記録用。
サービスにリンクされたルール
サービスにリンクされたルールは、他の をサポートする一意のタイプのマネージドルールです。 AWS 作成する サービス AWS Config アカウントの ルール。これらのルールは、他の を呼び出すために必要なすべてのアクセス許可を含むように事前定義されています。 AWS ユーザーに代わって のサービス。これらのルールは、 の標準に似ています。 AWS での サービスレコメンデーション AWS アカウント コンプライアンス検証用。詳細については、「サービスにリンクされた AWS Config ルール」を参照してください。
カスタムルール
カスタムルールを作成して、 AWS Config はまだ記録していません。詳細については、「AWS Config カスタムルール」および「その他のリソースタイプの評価」を参照してください。
コンプライアンスの表示
- AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。の AWS リソースは、希望する設定に全体的に準拠し、どの特定のリソースが非準拠であるかを学習します。を使用することもできます。 AWS CLI、 AWS Config API、、および AWS SDKs にリクエストを送信するには AWS Config コンプライアンス情報の サービス。
を使用する AWS Config リソース設定を評価するには、リソース設定が社内プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価できます。
制約事項
の最大数 AWS Config 各アカウントの各リージョンの ルールおよびその他のサービス制限については、「」を参照してください。 AWS Config サービスの制限 。
コストについて
リソース記録に関連するコストの詳細については、「」を参照してください。 AWS Config の料金
推奨事項: ルールを削除する前にリソースコンプライアンスの記録を停止する
アカウントのルールを削除する前に、AWS::Config::ResourceComplianceリソースタイプの記録を停止することを強くお勧めします。ルールを削除するAWS::Config::ResourceComplianceと、 の設定項目 (CIs) が作成され、 に影響する可能性があります。 AWS Config 設定レコーダーのコスト。多数のリソースタイプを評価するルールを削除すると、CIs記録された の数が増加する可能性があります。
ベストプラクティス:
録画を停止する
AWS::Config::ResourceComplianceルールを削除する (複数可)
の録音を有効にする
AWS::Config::ResourceCompliance
推奨事項: カスタム Lambda ルールの削除されたリソースの評価を処理するロジックを追加する
作成時 AWS Config カスタム Lambda ルールでは、削除されたリソースの評価を処理するロジックを追加することを強くお勧めします。
評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。としてNOTマークされている場合NOT_APPLICABLE、ルールが削除されるまで評価結果は変更されず、ルールの削除AWS::Config::ResourceCompliance時に CIs の の作成が予期せず急増する可能性があります。
の設定方法に関する情報 AWS Config 削除されたリソースを返すカスタム Lambda ルール。「 で削除されたリソースを管理するNOT_APPLICABLE」を参照してください。 AWS Config カスタム Lambda ルール 。
推奨事項: カスタム Lambda ルールの対象となるリソースを提供する
AWS Config ルールが 1 つ以上のリソースタイプにスコープされていない場合、カスタム Lambda ルールは多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を避けるため、カスタム Lambda ルールの範囲内にリソースを提供することを強くお勧めします。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。
リージョンのサポート
現在、 AWS Config ルール機能は、以下でサポートされています。 AWS リージョン。個々の のリスト AWS Config ルールはどのリージョンでサポートされていますか。「 のリスト」を参照してください。 AWS Config リージョン別の マネージドルールの可用性
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 米国東部 (バージニア北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 米国西部 (オレゴン) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (マレーシア) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
デプロイ AWS Config のメンバーアカウント間のルール AWS Organization は、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
