AWS Config
開発者ガイド

ルールでのリソースの評価

AWS Config を使用して AWS リソースの設定内容を評価します。これを行うには、AWS Config ルールを作成して最適な設定内容を定義します。AWS Config には、この作業をサポートするためにマネージドルールというカスタマイズ可能な定義済みのルールが用意されています。独自のカスタムルールを作成することもできます。AWS Config はリソースで発生する設定変更を継続的に追跡し、これらの変更がルールの条件に違反していないかどうかを確認します。リソースがルールに違反している場合、AWS Config はリソースとルールに非準拠を示す [noncompliant] のフラグを付けます。

たとえば、EC2 ボリュームを作成した場合、AWS Config では、ボリュームが暗号化されていることを要求するルールを適用してボリュームを評価できます。ボリュームが暗号化されていない場合、AWS Config はボリュームとルールに非準拠のフラグを付けます。AWS Config では、アカウント全体の要件に照らしてすべてのリソースを確認することもできます。たとえば、AWS Config ではアカウント内の EC2 ボリュームの数が所要合計以内であるかどうかや、アカウントでログ記録に AWS CloudTrail が使用されているかどうかを確認できます。

AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。AWS リソース全体が最適な設定に準拠しているかどうかを調べ、準拠していない特定のリソースを特定できます。AWS CLI、AWS Config API、および AWS SDK を使用して AWS Config サービスにコンプライアンス情報をリクエストすることもできます。

AWS Config でリソースの設定を評価することで、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を確認できます。

AWS Config ルールをサポートしているリージョンについては、『アマゾン ウェブ サービス全般のリファレンス』の「AWS Config のリージョンとエンドポイント」を参照してください。

アカウントのリージョンあたり最大 150 個の AWS Config ルールを作成できます。詳細については、『アマゾン ウェブ サービス全般のリファレンス』の「AWS Config の制限」を参照してください。

カスタムルールを作成して、現在 AWS Config の記録対象外のリソースを評価することもできます。詳細については、「その他のリソースタイプの評価」を参照してください。