翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config ルールを使用したリソースの評価
AWS Config を使用して、 AWS リソースの設定を評価します。これを行うには、理想的な設定を表す AWS Config ルールを作成します。 は、開始に役立つマネージドルールと呼ばれる、カスタマイズ可能な事前定義されたルール AWS Config を提供します。
AWS Config ルールの仕組み
AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに準拠していない場合、 はリソースとルールを非準拠の として AWS Config フラグします。 AWS Config ルールで考えられる評価結果を次に示します。
-
COMPLIANT
- ルールはコンプライアンスチェックの条件を満たしています。 -
NON_COMPLIANT
- ルールがコンプライアンスチェックの条件を満たしていません。 -
ERROR
- 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 -
NOT_APPLICABLE
- ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-checkルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer を無視します。
例えば、EC2ボリュームが作成されると、 はボリュームを暗号化する必要があるルールに照らしてボリュームを評価 AWS Config できます。ボリュームが暗号化されていない場合、 はボリュームとルールを非準拠として AWS Config フラグします。 は、アカウント全体の要件についてすべてのリソースを確認 AWS Config することもできます。例えば、 AWS Config は、アカウント内のEC2ボリューム数が希望する合計数内に収まっているかどうか、またはアカウントがログ AWS CloudTrail 記録に使用するかどうかを確認できます。
サービスにリンクされたルール
サービスにリンクされたルールは、アカウントでルールを作成するための他の AWS サービスをサポートする一意のタイプのマネージド AWS Config ルールです。これらのルールは、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可を含むように事前定義されています。これらのルールは、コンプライアンス検証 AWS アカウント のために AWS でサービスが推奨する標準に似ています。詳細については、「サービスにリンクされた AWS Config ルール」を参照してください。
カスタムルール
カスタムルールを作成して、まだ記録 AWS Config されていない追加のリソースを評価することもできます。詳細については、「AWS Config カスタムルール」および「その他のリソースタイプの評価」を参照してください。
コンプライアンスの表示
AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。 AWS リソースが希望する設定にどのように全体的に準拠しているかを確認し、どの特定のリソースが非準拠であるかを確認できます。また AWS CLI、、 AWS Config API、および AWS を使用して、コンプライアンス情報を AWS Config サービスにSDKsリクエストすることもできます。
AWS Config を使用してリソース設定を評価することで、リソース設定が内部プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価できます。
制約事項
各アカウントと他のサービス制限に対する各リージョンの AWS Config ルールの最大数については、AWS Config 「サービス制限」を参照してください。
コストについて
リソース記録に関連するコストの詳細については、AWS Config 「 の料金
推奨事項: ルールを削除する前にリソースコンプライアンスの記録を停止する
アカウントのルールを削除する前に、AWS::Config::ResourceCompliance
リソースタイプの記録を停止することを強くお勧めします。ルールを削除するAWS::Config::ResourceCompliance
と、 の設定項目 (CIs) が作成され、 AWS Config 設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、CIs記録される数の急増につながる可能性があります。
ベストプラクティス:
録画を停止する
AWS::Config::ResourceCompliance
ルールの削除 (複数可)
の録画を有効にする
AWS::Config::ResourceCompliance
推奨事項: カスタム Lambda ルールの削除済みリソースの評価を処理するロジックを追加する
AWS Config カスタム Lambda ルールを作成するときは、削除されたリソースの評価を処理するロジックを追加することをお勧めします。
評価結果が NOT_APPLICABLE
としてマークされている場合、削除およびクリーンアップの対象としてマークされます。としてNOTマークされている場合NOT_APPLICABLE
、ルールが削除されるまで評価結果は変更されず、ルールの削除AWS::Config::ResourceCompliance
時に CIs の の作成が予期しない急増を引き起こす可能性があります。
削除されたリソースNOT_APPLICABLE
を返すように AWS Config カスタム Lambda ルールを設定する方法については、AWS Config 「カスタム Lambda ルール を使用した削除されたリソースの管理」を参照してください。
推奨事項: カスタム Lambda ルールの対象となるリソースを提供する
AWS Config ルールが 1 つ以上のリソースタイプにスコープされていない場合、カスタム Lambda ルールは多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を避けるため、Custom Lambda ルールの範囲内のリソースを提供することを強くお勧めします。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。
リージョンのサポート
現在、 AWS Config ルール機能は次の AWS リージョンでサポートされています。どのリージョンで個々の AWS Config ルールがサポートされているかのリストについては、「リージョンの可用性による AWS Config マネージドルールのリスト」を参照してください。
リージョン名 | リージョン | エンドポイント | プロトコル |
---|---|---|---|
米国東部 (オハイオ) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
米国東部 (バージニア北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
米国西部 (北カリフォルニア) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
米国西部 (オレゴン) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
アジアパシフィック (マレーシア) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Organization のメンバーアカウント間で AWS Config のルールのデプロイ AWS は、次のリージョンでサポートされています。
リージョン名 | リージョン | エンドポイント | プロトコル |
---|---|---|---|
米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |