AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成 - AWS Config

AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成

重要

AWS CloudFormation で AWS Config マネージドルールを作成するには、まず AWS Config 設定レコーダーを作成して起動する必要があります。詳細については、「設定レコーダーの管理」を参照してください。

サポートされている AWS Config マネージドルールについては、AWS CloudFormation テンプレートを使用してアカウント用に作成するか、既存の AWS CloudFormation スタックを更新することができます。スタックとは、関連リソースの集合体のことで、ユーザーはこれを単一のユニットとしてプロビジョニングし、更新します。テンプレートを使用してスタックを起動すると、AWS Config マネージドルールが自動的に作成されます。テンプレートで作成されるのはルールのみです。追加の AWS リソースは作成されません。

注記

AWS Config マネージドルールを更新すると、テンプレートが更新されて最新の変更が反映されます。ルールの特定バージョンのテンプレートを保存するには、テンプレートをダウンロードして S3 バケットにアップロードします。

AWS CloudFormation テンプレートの使用方法の詳細については、AWS CloudFormation ユーザーガイドAWS CloudFormation の使用方法を参照してください。

AWS Config マネージドルールの AWS CloudFormation スタックを起動するには

  1. CloudFormation コンソールに移動し、新しいスタックを作成します。

  2. [Specify template] (テンプレートを指定) の場合:

    • テンプレートをダウンロードした場合、[Upload a template file] (テンプレートファイルをアップロード) を選択し、[Choose file] (ファイルを選択) でテンプレートをアップロードします。

    • Amazon S3 URL を選択し、テンプレート URL http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/THE_RULE_IDENTIFIER.template を入力します。

    注記

    ルール識別子は ALL_CAPS_WITH_UNDERSCORES で記述する必要があります。例えば、cloudwatch-log-group-encrypted ではなく、CLOUDWATCH_LOG_GROUP_ENCRYPTED と記述します。

    ルールによっては、ルール識別子はルール名と異なる場合があります。必ずルール識別子を使用するようにしてください。例えば、restricted-ssh のルール識別子は INCOMING_SSH_DISABLED です。

  3. Next を選択します。

  4. [Specify stack details] (スタック詳細を指定) に、スタック名を入力し、AWS Config ルールのパラメータ値を入力します。例えば、マネージドルールのテンプレートとして DESIRED_INSTANCE_TYPE を使用している場合は、「m4.large」などのインスタンスタイプを指定できます。

  5. Next を選択します。

  6. Options で、タグを作成したり、その他の詳細オプションを設定したりできます。これらは必須ではありません。

  7. Next を選択します。

  8. 確認 で、テンプレート、パラメータ、その他のオプションが正しいことを確認します。

  9. Create を選択します。スタックが数分で作成されます。作成されたルールは、AWS Config コンソールで表示できます。

テンプレートを使用して、AWS Config マネージドルールの 1 つのスタックを作成するか、アカウントの既存のスタックを更新することができます。スタックを削除すると、そのスタックから作成されたマネージドルールも削除されます。詳細については、AWS CloudFormation ユーザーガイドスタックの使用を参照してください。