AWS Config ルールでのリソースの評価
AWS Config を使用して AWS リソースの設定内容を評価します。これを行うには、AWS Config ルールを作成して最適な設定内容を定義します。AWS Config には、この作業をサポートするためにマネージドルールというカスタマイズ可能な定義済みのルールが用意されています。AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに適合していない場合、AWS Config はリソースとルールに非準拠を示す noncompliant のフラグを付けます。AWS Config ルールについて考えられる評価結果は次のとおりです。
-
COMPLIANT- ルールはコンプライアンスチェックの条件を満たしています。 -
NON_COMPLIANT- ルールがコンプライアンスチェックの条件を満たしていません。 -
ERROR- 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 -
NOT_APPLICABLE- ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-check ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。
例えば、EC2 ボリュームを作成した場合、AWS Config では、ボリュームが暗号化されていることを要求するルールを適用してボリュームを評価できます。ボリュームが暗号化されていない場合、AWS Config はボリュームとルールに非準拠のフラグを付けます。AWS Config では、アカウント全体の要件に照らしてすべてのリソースを確認することもできます。例えば、AWS Config ではアカウント内の EC2 ボリュームの数が所要合計以内であるかどうかや、アカウントでログ記録に AWS CloudTrail が使用されているかどうかを確認できます。
サービスにリンクされたルールは、一意のタイプのマネージドルールであり、アカウントに AWS Config ルールを作成する他の AWS サービスをサポートします。これらのルールは事前定義され、ユーザーに代わって 他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。これらのルールは、AWS アカウントで AWS のサービスが推奨するコンプライアンス検証の基準と同様のものです。詳細については、[サービスにリンクされた AWS Config ルール] を参照してください。
AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。AWS リソース全体が最適な設定に準拠しているかどうかを調べ、準拠していない特定のリソースを特定できます。AWS CLI、AWS Config API、および AWS SDK を使用して AWS Config サービスにコンプライアンス情報をリクエストすることもできます。
AWS Config でリソースの設定を評価することで、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を確認できます。
アカウントおよびリージョンごとの AWS Config ルールの最大数とその他のサービスの制限については、「AWS Config サービスの制限」を参照してください。
カスタムルールを作成して、現在 AWS Config の記録対象外のリソースを評価することもできます。詳細については、AWS Config カスタムルール および その他のリソースタイプの評価 を参照してください。
重要
不必要な AWS Config カスタム Lambda ルール評価の回避
AWS Config カスタム Lambda ルールを作成する場合、削除されたリソースの評価を処理するロジックを追加することを強く推奨します。
評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。NOT_APPLICABLE としてマークされていない場合は、ルールが削除されるまで評価結果が変更されないため、ルールの削除時に ResourceCompliance の設定項目 (CI) の作成が予想以上に急増する可能性あります。
NOT_APPLICABLE に削除されたリソースを返す AWS Config カスタム Lambda ルールの設定方法については、「Managing deleted resources with AWS Config custom lambda rules」を参照してください。
注意: AWS Config マネージドルールおよび AWS Config カスタムポリシールールでは、デフォルトでこの動作を処理します。
トピック
リージョンのサポート
現在、AWS Config ルールは次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 中国 (北京) | cn-north-1 | config.cn-north-1.amazonaws.com | HTTPS |
| 中国 (寧夏) | cn-northwest-1 | config.cn-northwest-1.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
AWS 組織内のメンバーアカウント間での AWS Config ルールのデプロイは、以下のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
