翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config マネージドルール
AWS Config は、AWS マネージドルールを提供します。マネージドルールは、定義済みのカスタマイズ可能なルールであり、AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config で使用します。例えば、マネージドルールを使用すると、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうか、または特定のタグがリソースに適用されているかどうかの評価をすぐに開始できます。マネージドルールは、AWS Config コンソールの手順に従って設定および有効化できます。AWS Command Line Interface または AWS Config API を使用して、マネージドルールの設定を定義する JSON コードを渡すこともできます。
マネージドルールの動作は、ニーズに合わせてカスタマイズできます。例えば、ルールの評価をトリガーするリソースを EC2 インスタンスやボリュームなどに制限するようにルールのスコープを定義できます。ルールのパラメータをカスタマイズして、ルールに準拠するためにリソースに必要とされる属性を定義できます。例えば、パラメータをカスタマイズして、特定のポート番号に着信するトラフィックをセキュリティグループでブロックするように指定できます。
注記
AWS Config マネージドルールは Amazon Simple Storage Service (Amazon S3) リソースを評価する際に汎用バケットのみをサポートします。AWS Config ディレクトリバケットの設定変更は記録されません。汎用バケットとディレクトリバケットの詳細については、「Amazon S3 ユーザーガイド」の「バケットの概要」と「ディレクトリバケット」を参照してください。
トリガータイプ
アカウントにルールを追加すると、AWS Config はリソースをルールの条件と比較します。この初期評価後は、評価がトリガーされるたびに AWS Config で評価が実行されます。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。
- 設定変更
-
AWS Config は、ルールのスコープと一致するリソースがあり、そのリソースの設定に変更があったときに、ルールに対して評価を実行します。AWS Config設定項目の変更通知を送信後に、評価が実行されます。
どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。
-
1 つ以上のリソースタイプ
-
リソースタイプとリソース ID の組み合わせ
-
タグキーとタグ値の組み合わせ
-
記録対象リソースの作成、更新、または削除時
AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。
-
- 定期的
-
AWS Config では、指定した間隔 (24 時間ごとなど) で、ルールの評価を実行します。
- ハイブリッド
-
一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、AWS Config によって、設定変更の検出時と、ユーザー指定の間隔でリソースを評価できます。
評価モード
AWS Config ルールには、2 種類の評価モードがあります。
- プロアクティブ
-
プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、AWS リソースを定義するために使用した一連のリソースプロパティが、リージョンのアカウントにあるプロアクティブなルールセットに照らして、COMPLIANT または NON_COMPLIANT であるかを評価できます。
詳細については、「評価モード」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。
注記
プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。
- 検出
-
検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。