AWS Config ルールを使用したリソースの評価 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールを使用したリソースの評価

を使用して AWS Config 、 AWS リソースの設定を評価します。これを行うには、理想的な構成設定を表す AWS Config ルールを作成します。 は、開始しやすいように、マネージドルールと呼ばれるカスタマイズ可能な事前定義されたルール AWS Config を提供します。

考慮事項

コストについて

リソースの記録に関連するコストの詳細については、「AWS Config の料金」を参照してください。

推奨事項: ルールを削除する前にAWS::Config::ResourceCompliance、リソースタイプを記録から除外することを検討してください。

ルールを削除するCIs) が作成されAWS::Config::ResourceCompliance、設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、記録された CI の数が増加する可能性があります。

関連するコストを回避するには、ルールを削除する前にAWS::Config::ResourceComplianceリソースタイプの記録を無効にし、ルールが削除された後に記録を再度有効にすることができます。

ただし、ルールの削除は非同期プロセスであるため、完了までに 1 時間以上かかる場合があります。の記録が無効になっている間AWS::Config::ResourceCompliance、ルール評価は関連するリソースの履歴に記録されません。

AWS Config では、ルールの削除方法を決定する前に、これらの要素をcase-by-caseで比較検討することをお勧めします。

推奨事項: カスタム Lambda ルールの削除済みリソースの評価を処理するロジックを追加します

AWS Config カスタム Lambda ルールを作成するときは、削除されたリソースの評価を処理するロジックを追加することを強くお勧めします。

評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。NOT_APPLICABLE としてマークされていない場合は、ルールが削除されるまで評価結果が変更されないため、ルールの削除時に AWS::Config::ResourceCompliance の CI の作成が予想以上に急増する可能性あります。

削除されたリソースに対して返す AWS Config カスタム Lambda ルールを設定する方法については、AWS Config 「カスタム Lambda ルールを使用した削除されたリソースの管理NOT_APPLICABLE」を参照してください。

推奨事項: カスタム Lambda ルールの対象となるリソースを提供します

AWS Config カスタム Lambda ルールは、ルールが 1 つ以上のリソースタイプにスコープされていない場合、多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を回避するには、カスタム Lambda ルールの対象範囲内のリソースを提供することを強く推奨します。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。

その他の考慮事項

マネージドルールのデフォルト値

マネージドルールに指定されたデフォルト値は、 AWS コンソールを使用する場合にのみ事前入力されます。デフォルト値が API、CLI、または SDK に自動設定されることはありません。

設定項目の記録遅延

AWS Config 通常、 は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。既知の遅延があるリソースタイプには、 AWS::SecretsManager::Secretや などがありますAWS::SQS::Queue。これらのリソースタイプは例であり、このリストは網羅的ではありません。

ポリシーとコンプライアンスの結果

で管理される IAM ポリシーやその他のポリシーは、 AWS Config にリソースの設定変更を記録するアクセス許可があるかどうかに影響を与える可能性があります。 AWS Organizationsさらに、 ルールはリソースの設定を直接評価し、 ルールは評価の実行時にこれらのポリシーを考慮しません。有効なポリシーが、使用する意図と一致していることを確認してください AWS Config。

ディレクトリバケットはサポートされていません

マネージドルールは、Amazon Simple Storage Service (Amazon S3) リソースを評価するときに汎用バケットのみをサポートします。汎用バケットとディレクトリバケットの詳細については、「Amazon S3 ユーザーガイド」の「バケットの概要」と「ディレクトリバケット」を参照してください。

マネージドルールとグローバル IAM リソースタイプ

2022 年 2 月より前にオンボーディングされたグローバル IAM リソースタイプ (AWS::IAM::GroupAWS::IAM::PolicyAWS::IAM::Role、および AWS::IAM::User) は、2022 年 2 月より前に が利用可能 AWS Config であった AWS リージョンでのみ AWS Config によって記録できます。これらのリソースタイプは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。

不必要な評価を回避するため、グローバル IAM リソースタイプのコンプライアンスを報告する定期ルールは、サポートされているリージョンの 1 つにのみデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。

リージョンのサポート

現在、 AWS Config ルール機能は以下の AWS リージョンでサポートされています。どのリージョンで個々の AWS Config ルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

米国東部 (バージニア北部) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

米国西部 (北カリフォルニア) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

米国西部 (オレゴン) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (マレーシア) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (タイ) ap-southeast-7 config.ap-southeast-7.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
メキシコ (中部) mx-central-1 config.mx-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (アラブ首長国連邦) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

AWS 組織のメンバーアカウント間での AWS Config ルールのデプロイは、次のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (アラブ首長国連邦) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS