AWS Config ルールでのリソースの評価 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールでのリソースの評価

AWS Config を使用して AWS リソースの設定内容を評価します。これを行うには、AWS Config ルールを作成して最適な設定内容を定義します。AWS Config には、この作業をサポートするためにマネージドルールというカスタマイズ可能な定義済みのルールが用意されています。AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに適合していない場合、AWS Config はリソースとルールに非準拠を示す noncompliant のフラグを付けます。AWS Config ルールについて考えられる評価結果は次のとおりです。

  • COMPLIANT - ルールはコンプライアンスチェックの条件を満たしています。

  • NON_COMPLIANT - ルールがコンプライアンスチェックの条件を満たしていません。

  • ERROR - 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。

  • NOT_APPLICABLE - ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。

例えば、EC2 ボリュームを作成した場合、AWS Config では、ボリュームが暗号化されていることを要求するルールを適用してボリュームを評価できます。ボリュームが暗号化されていない場合、AWS Config はボリュームとルールに非準拠のフラグを付けます。AWS Config では、アカウント全体の要件に照らしてすべてのリソースを確認することもできます。例えば、AWS Config ではアカウント内の EC2 ボリュームの数が所要合計以内であるかどうかや、アカウントでログ記録に AWS CloudTrail が使用されているかどうかを確認できます。

サービスにリンクされたルールは、一意のタイプのマネージドルールであり、アカウントに AWS Config ルールを作成する他の AWS サービスをサポートします。これらのルールは事前定義され、ユーザーに代わって 他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。これらのルールは、AWS アカウントで AWS のサービスが推奨するコンプライアンス検証の基準と同様のものです。詳細については、[サービスにリンクされた AWS Config ルール] を参照してください。

AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。AWS リソース全体が最適な設定に準拠しているかどうかを調べ、準拠していない特定のリソースを特定できます。AWS CLI、AWS Config API、および AWS SDK を使用して AWS Config サービスにコンプライアンス情報をリクエストすることもできます。

AWS Config でリソースの設定を評価することで、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を確認できます。

アカウントおよびリージョンごとの AWS Config ルールの最大数とその他のサービスの制限については、「AWS Config サービスの制限」を参照してください。

カスタムルールを作成して、現在 AWS Config の記録対象外のリソースを評価することもできます。詳細については、「AWS Config カスタムルールその他のリソースタイプの評価」を参照してください。

重要

不必要な AWS Config カスタム Lambda ルール評価の回避

AWS Config カスタム Lambda ルールを作成する場合、削除されたリソースの評価を処理するロジックを追加することを強く推奨します。

評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。NOT_APPLICABLE としてマークされていない場合は、ルールが削除されるまで評価結果が変更されないため、ルールの削除時に ResourceCompliance の設定項目 (CI) の作成が予想以上に急増する可能性あります。

削除されたリソースの NOT_APPLICABLE を返す AWS Config カスタム Lambda ルールの設定方法については、「AWS Config カスタム Lambda ルールにより削除されたリソースを管理する」を参照してください。AWS Config 管理ルールと AWS Config カスタムポリシーは、デフォルトでこの動作を処理します。

設定レコーダがオフになっている場合、削除されたリソースの評価結果を保持することができる

設定レコーダーをオフにすると、削除を含め、リソースの設定への変更を追跡する AWS Config の機能は無効になります。これにより、設定レコーダーをオフにした場合、以前に削除されたリソースの評価結果が表示されることがあります。

リージョンのサポート

現在、AWS Config ルール機能は、以下の AWS リージョンでサポートされています。どの個別の AWS Config ルールがどのリージョンでサポートされているかのリストについては、「利用可能なリージョン別の AWS Config マネージドルールのリスト」を参照してください。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

米国東部 (バージニア北部) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

米国西部 (北カリフォルニア) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

米国西部 (オレゴン) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (アラブ首長国連邦) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

AWS 組織内のメンバーアカウント間での AWS Config ルールのデプロイは、以下のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS