AWS Config ルールのトリガーの指定 - AWS Config

AWS Config ルールのトリガーの指定

アカウントにルールを追加する際に、 AWS Config でルールを実行するタイミングを指定できます。これは、トリガーと呼ばれます。AWS Config では、トリガーが発生すると、ルールを適用してリソースの設定を評価します。

トリガータイプ

2 種類のトリガーがあります。

設定変更

AWS Config では、特定のタイプのリソースが作成、変更、または削除されると、ルールを適用して評価を実行します。

どのリソースで評価をトリガーするかは、ルールのスコープで定義します。スコープには以下を含めることができます。

  • 1 つ以上のリソースタイプ

  • リソースタイプとリソース ID の組み合わせ

  • タグキーとタグ値の組み合わせ

  • 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価をトリガーするリソースを制限できます。それ以外の場合は、記録対象のリソースに変更があると、評価が実行されます。

定期的

AWS Config指定した間隔 (24 時間ごとなど) で、 でのルールの評価が実行されます。

設定変更と定期的の両方を選択すると、AWS Config は、設定変更を検出したときと、ユーザーが指定した頻度で Lambda 関数を呼び出します。

ルールでのトリガーの例

ルールの設定変更トリガーの例

  1. AWS Config マネージドルールの S3_BUCKET_LOGGING_ENABLED をアカウントに追加し、Amazon S3 バケットのログ記録が有効になっているかどうかを確認します。

  2. ルールのトリガータイプは「設定変更」です。AWS Config は、Amazon S3 バケットが作成、変更、または削除されると、ルールの評価を実行します。

  3. バケットが更新されると、この設定変更によってルールがトリガーされ、バケットがルールに準拠しているかどうかが AWS Config で評価されます。

ルールの定期的トリガーの例

  1. AWS Config マネージドルールの IAM_PASSWORD_POLICY をアカウントに追加します。このルールでは、IAM ユーザーのパスワードポリシーがアカウントポリシーに準拠しているかどうか(最小長や特定の文字の要件を満たしているかどうかなど) を確認します。

  2. ルールのトリガータイプは「定期的」です。AWS Config では、ユーザーが指定した間隔 (24 時間ごとなど) でルールの評価を実行します。

  3. ルールが 24 時間ごとにトリガーされると、AWS Config は、IAM ユーザーのパスワードがルールに準拠しているかどうかを評価します。

ルールの設定変更トリガーと定期的トリガーの例

  1. アカウントで CloudTrail 証跡が有効になっているかどうか、およびすべてのリージョンでログが記録されるかどうかを評価するカスタムルールを作成します。

  2. 証跡が作成、更新、または削除されるたびに AWS Config でルールの評価を実行します。また、12 時間ごとに AWS Config でルールを実行します。

  3. トリガータイプとして、設定変更と定期的の両方を選択します。

設定レコーダーがオフになっているときのルールの評価

設定レコーダーをオフにすると、AWS Config ではリソースの設定変更の記録を停止します。これは以下のようにルールの評価ルールに影響します。

  • 定期的トリガーのルールは、引き続き指定した間隔で評価が実行されます。

  • 設定変更トリガーのルールでは、評価が実行されません。

  • 両方のトリガータイプのルールでは、指定した間隔でのみ評価が実行されます。設定変更のルールでは評価が実行されません。

  • 設定変更トリガーのルールのオンデマンド評価を実行すると、リソースの最後の知られている状態 (前回記録された設定項目) が評価されます。