AWS Config ルールのトリガーの指定 - AWS Config
トリガータイプルールでのトリガーの例設定レコーダーがオフになっているときのルールの評価

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Config ルールのトリガーの指定

アカウントにルールを追加する際に、AWS Config でルールを実行するタイミングを指定できます。これは、トリガーと呼ばれます。AWS Config では、トリガーが発生すると、ルールを適用してリソースの設定を評価します。

トリガータイプ

2 種類のトリガーがあります。

設定変更

AWS Config では、特定のタイプのリソースが作成、変更、または削除されると、ルールを適用して評価を実行します。

どのリソースで評価をトリガーするかは、ルールのスコープで定義します。スコープには以下を含めることができます。

  • 1 つ以上のリソースタイプ

  • リソースタイプとリソース ID の組み合わせ

  • タグキーとタグ値の組み合わせ

  • 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価をトリガーするリソースを制限できます。それ以外の場合は、記録対象のリソースに変更があると、評価が実行されます。

定期的

指定した間隔 (24 時間ごとなど) で、AWS Config でのルールの評価が実行されます。

設定変更と定期的の両方を選択すると、AWS Config では設定変更を検出したときと、さらにユーザーが指定した間隔で Lambda 関数を呼び出します。

ルールでのトリガーの例

ルールの設定変更トリガーの例

  1. AWS Config マネージドルールの S3_BUCKET_LOGGING_ENABLED をアカウントに追加し、Amazon S3 バケットのログ記録が有効になっているかどうかを確認します。

  2. ルールのトリガータイプは「設定変更」です。AWS Config では、Amazon S3 バケットが作成、変更、または削除されると、ルールの評価を実行します。

  3. バケットが更新されると、この設定変更によってルールがトリガーされ、バケットがルールに準拠しているかどうかが AWS Config で評価されます。

ルールの定期的トリガーの例

  1. AWS Config マネージドルールの IAM_PASSWORD_POLICY をアカウントに追加します。このルールでは、IAM ユーザーのパスワードポリシーがアカウントポリシーに準拠しているかどうかを確認します。たとえば、最小長や特定の文字などの要件を満たしているかどうかを確認します。

  2. ルールのトリガータイプは「定期的」です。AWS Config では、ユーザーが指定した間隔 (24 時間ごとなど) でルールの評価を実行します。

  3. 24 時間ごとにルールがトリガーされ、IAM ユーザーのパスワードがルールに準拠しているかどうかが AWS Config で評価されます。

ルールの設定変更トリガーと定期的トリガーの例

  1. アカウントで CloudTrail 証跡が有効になっているかどうか、すべてのリージョンでログが記録されるかどうかを評価するカスタムルールを作成します。

  2. 証跡が作成、更新、または削除されるたびに AWS Config でルールの評価を実行します。また、12 時間ごとに AWS Config でルールを実行します。

  3. トリガータイプとして、設定変更と定期的の両方を選択します。

設定レコーダーがオフになっているときのルールの評価

設定レコーダーをオフにすると、AWS Config ではリソースの設定変更の記録を停止します。これは以下のようにルールの評価ルールに影響します。

  • 定期的トリガーのルールは、引き続き指定した間隔で評価が実行されます。

  • 設定変更トリガーのルールでは、評価が実行されません。

  • 両方のトリガータイプのルールでは、指定した間隔でのみ評価が実行されます。設定変更のルールでは評価が実行されません。

  • 設定変更トリガーのルールのオンデマンド評価を実行すると、リソースの最後の知られている状態 (前回記録された設定項目) が評価されます。