AWS Config ルールによるリソースの評価 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールによるリソースの評価

を使用して AWS Config 、 AWS リソースの設定を評価します。これを行うには、理想的な構成設定を表す AWS Config ルールを作成します。 は、使用開始に役立つマネージドルールと呼ばれる、カスタマイズ可能な事前定義されたルール AWS Config を提供します。

AWS Config ルールの仕組み

AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに準拠していない場合、 はリソースとルールを非準拠の として AWS Config フラグ付けします。 AWS Config ルールで考えられる評価結果は、次のとおりです。

  • COMPLIANT - ルールはコンプライアンスチェックの条件を満たしています。

  • NON_COMPLIANT - ルールがコンプライアンスチェックの条件を満たしていません。

  • ERROR - 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。

  • NOT_APPLICABLE - ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。

例えば、EC2 ボリュームを作成すると、 はボリュームを暗号化する必要があるルールに対してボリュームを評価 AWS Config できます。ボリュームが暗号化されていない場合、 はボリュームとルールを非準拠として AWS Config フラグ付けします。 はアカウント全体の要件についてすべてのリソースを確認 AWS Config することもできます。例えば、 AWS Config は、アカウント内の EC2 ボリュームの数が希望する合計数内にあるかどうか、またはアカウントがログ AWS CloudTrail 記録に を使用しているかどうかを確認できます。

サービスにリンクされたルール

サービスにリンクされたルールは、アカウントでルールを作成するための他の AWS のサービスをサポートする一意のタイプのマネージド AWS Config ルールです。これらのルールは、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可を含めるように事前定義されています。これらのルールは、コンプライアンス検証のために AWS サービスが AWS アカウントで推奨する標準に似ています。詳細については、「サービスにリンクされた AWS Config ルール」を参照してください。

カスタムルール

まだ記録 AWS Config されていない追加のリソースを評価するカスタムルールを作成することもできます。詳細については、「AWS Config カスタムルール」および「その他のリソースタイプの評価」を参照してください。

コンプライアンスの表示

AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。 AWS リソースが全体的な目的の設定にどのように準拠しているかを確認し、どの特定のリソースが非準拠であるかを確認できます。 AWS CLI、 AWS Config API、および AWS SDKs を使用して、コンプライアンス情報を AWS Config サービスにリクエストすることもできます。

AWS Config を使用してリソース設定を評価することで、リソース設定が社内プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価できます。

制約事項

各アカウントの各リージョンの AWS Config ルールの最大数とその他のサービスの制限については、AWS Config 「サービスの制限」を参照してください。

コストについて

リソース記録に関連するコストの詳細については、AWS Config 「 の料金」を参照してください。

推奨事項: ルールを削除する前にリソースコンプライアンスの記録を停止する

アカウントのルールを削除する前に、AWS::Config::ResourceComplianceリソースタイプの記録を停止することを強くお勧めします。ルールを削除するAWS::Config::ResourceComplianceと、 の設定項目 (CIsが作成され、 AWS Config 設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、記録された CIs の数が増加する可能性があります。

ベストプラクティス:

  1. 録画を停止する AWS::Config::ResourceCompliance

  2. ルールを削除する (複数可)

  3. の録音を有効にする AWS::Config::ResourceCompliance

推奨事項: カスタム Lambda ルールの削除されたリソースの評価を処理するロジックを追加する

AWS Config カスタム Lambda ルールを作成するときは、削除されたリソースの評価を処理するロジックを追加することを強くお勧めします。

評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。としてマークされていない場合NOT_APPLICABLE、ルールが削除されるまで評価結果は変更されず、ルールの削除AWS::Config::ResourceCompliance時に の CIs の作成が予期せず急増する可能性があります。

削除されたリソースを返すように AWS Config カスタム Lambda ルールを設定する方法については、AWS Config 「カスタム Lambda ルールによる削除されたリソースの管理NOT_APPLICABLE」を参照してください。

推奨事項: カスタム Lambda ルールの対象となるリソースを提供する

AWS Config ルールが 1 つ以上のリソースタイプにスコープされていない場合、カスタム Lambda ルールは多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を避けるため、カスタム Lambda ルールの範囲内にリソースを提供することを強くお勧めします。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。

リージョンのサポート

現在、 AWS Config ルール機能は以下の AWS リージョンでサポートされています。どのリージョンで個々の AWS Config ルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

米国東部 (バージニア北部) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

米国西部 (北カリフォルニア) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

米国西部 (オレゴン) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (アラブ首長国連邦) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

Organization のメンバーアカウント間での AWS Config ルールのデプロイ AWS は、次のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS