AWS Config ルールのトリガーの指定
アカウントにルールを追加する際に、AWS Config でルールを実行するタイミングを指定できます。これは、トリガーと呼ばれます。AWS Config では、トリガーが発生すると、ルールを適用してリソースの設定を評価します。
トリガータイプ
2 種類のトリガーがあります。
- 設定変更
-
AWS Config では、特定のタイプのリソースが作成、変更、または削除されると、ルールを適用して評価を実行します。
どのリソースで評価をトリガーするかは、ルールのスコープで定義します。スコープには以下を含めることができます。
-
1 つ以上のリソースタイプ
-
リソースタイプとリソース ID の組み合わせ
-
タグキーとタグ値の組み合わせ
-
記録対象リソースの作成、更新、または削除時
AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価をトリガーするリソースを制限できます。それ以外の場合は、記録対象のリソースに変更があると、評価が実行されます。
-
- 定期的
-
AWS Config指定した間隔 (24 時間ごとなど) で、 でのルールの評価が実行されます。
設定変更と定期的の両方を選択すると、AWS Config は設定変更を検出したときと、ユーザーが指定した頻度で Lambda 関数を呼び出します。
ルールでのトリガーの例
ルールの設定変更トリガーの例
-
AWS Config マネージドルールの
S3_BUCKET_LOGGING_ENABLED
をアカウントに追加し、Amazon S3 バケットのログ記録が有効になっているかどうかを確認します。 -
ルールのトリガータイプは「設定変更」です。AWS Config は、Amazon S3 バケットが作成、変更、または削除されると、ルールの評価を実行します。
-
バケットが更新されると、この設定変更によってルールがトリガーされ、バケットがルールに準拠しているかどうかが AWS Config で評価されます。
ルールの定期的トリガーの例
-
AWS Config マネージドルールの
IAM_PASSWORD_POLICY
をアカウントに追加します。このルールでは、IAM ユーザーのパスワードポリシーがアカウントポリシーに準拠しているかどうか (最小長や特定の文字の要件を満たしているかどうかなど) を確認します。 -
ルールのトリガータイプは「定期的」です。AWS Config では、ユーザーが指定した間隔 (24 時間ごとなど) でルールの評価を実行します。
-
ルールが 24 時間ごとにトリガーされると、AWS Config は IAM ユーザーのパスワードがルールに準拠しているかどうかを評価します。
ルールの設定変更トリガーと定期的トリガーの例
-
アカウントで CloudTrail 証跡が有効になっているかどうか、およびすべてのリージョンでログが記録されるかどうかを評価するカスタムルールを作成します。
-
証跡が作成、更新、または削除されるたびに AWS Config でルールの評価を実行します。また、12 時間ごとに AWS Config でルールを実行します。
-
トリガータイプとして、設定変更と定期的の両方を選択します。
設定レコーダーがオフになっているときのルールの評価
設定レコーダーをオフにすると、AWS Config ではリソースの設定変更の記録を停止します。これは以下のようにルールの評価ルールに影響します。
-
定期的トリガーのルールは、引き続き指定した間隔で評価が実行されます。
-
設定変更トリガーのルールでは、評価が実行されません。
-
両方のトリガータイプのルールでは、指定した間隔でのみ評価が実行されます。設定変更のルールでは評価が実行されません。
-
設定変更トリガーのルールのオンデマンド評価を実行すると、リソースの最後の知られている状態 (前回記録された設定項目) が評価されます。