翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config ルールを使用したリソースの評価
を使用して AWS Config 、 AWS リソースの設定を評価します。これを行うには、理想的な構成設定を表す AWS Config ルールを作成します。 は、開始しやすいように、マネージドルールと呼ばれるカスタマイズ可能な事前定義されたルール AWS Config を提供します。
トピック
考慮事項
コストについて
リソースの記録に関連するコストの詳細については、「AWS Config の料金
推奨事項: ルールを削除する前にAWS::Config::ResourceCompliance
、リソースタイプを記録から除外することを検討してください。
ルールを削除するCIs) が作成されAWS::Config::ResourceCompliance
、設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、記録された CI の数が増加する可能性があります。
関連するコストを回避するには、ルールを削除する前にAWS::Config::ResourceCompliance
リソースタイプの記録を無効にし、ルールが削除された後に記録を再度有効にすることができます。
ただし、ルールの削除は非同期プロセスであるため、完了までに 1 時間以上かかる場合があります。の記録が無効になっている間AWS::Config::ResourceCompliance
、ルール評価は関連するリソースの履歴に記録されません。
AWS Config では、ルールの削除方法を決定する前に、これらの要素をcase-by-caseで比較検討することをお勧めします。
推奨事項: カスタム Lambda ルールの削除済みリソースの評価を処理するロジックを追加します
AWS Config カスタム Lambda ルールを作成するときは、削除されたリソースの評価を処理するロジックを追加することを強くお勧めします。
評価結果が NOT_APPLICABLE
としてマークされている場合、削除およびクリーンアップの対象としてマークされます。NOT_APPLICABLE
としてマークされていない場合は、ルールが削除されるまで評価結果が変更されないため、ルールの削除時に AWS::Config::ResourceCompliance
の CI の作成が予想以上に急増する可能性あります。
削除されたリソースに対して返す AWS Config カスタム Lambda ルールを設定する方法については、AWS Config 「カスタム Lambda ルールを使用した削除されたリソースの管理NOT_APPLICABLE
」を参照してください。
推奨事項: カスタム Lambda ルールの対象となるリソースを提供します
AWS Config カスタム Lambda ルールは、ルールが 1 つ以上のリソースタイプにスコープされていない場合、多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を回避するには、カスタム Lambda ルールの対象範囲内のリソースを提供することを強く推奨します。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。
その他の考慮事項
マネージドルールのデフォルト値
マネージドルールに指定されたデフォルト値は、 AWS コンソールを使用する場合にのみ事前入力されます。デフォルト値が API、CLI、または SDK に自動設定されることはありません。
設定項目の記録遅延
AWS Config 通常、 は変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。既知の遅延があるリソースタイプには、 AWS::SecretsManager::Secret
や などがありますAWS::SQS::Queue
。これらのリソースタイプは例であり、このリストは網羅的ではありません。
ポリシーとコンプライアンスの結果
で管理される IAM ポリシーやその他のポリシーは、 AWS Config にリソースの設定変更を記録するアクセス許可があるかどうかに影響を与える可能性があります。 AWS Organizationsさらに、 ルールはリソースの設定を直接評価し、 ルールは評価の実行時にこれらのポリシーを考慮しません。有効なポリシーが、使用する意図と一致していることを確認してください AWS Config。
ディレクトリバケットはサポートされていません
マネージドルールは、Amazon Simple Storage Service (Amazon S3) リソースを評価するときに汎用バケットのみをサポートします。汎用バケットとディレクトリバケットの詳細については、「Amazon S3 ユーザーガイド」の「バケットの概要」と「ディレクトリバケット」を参照してください。
マネージドルールとグローバル IAM リソースタイプ
2022 年 2 月より前にオンボーディングされたグローバル IAM リソースタイプ (AWS::IAM::Group
、AWS::IAM::Policy
、AWS::IAM::Role
、および AWS::IAM::User
) は、2022 年 2 月より前に が利用可能 AWS Config であった AWS リージョンでのみ AWS Config によって記録できます。これらのリソースタイプは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。
少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。
不必要な評価を回避するため、グローバル IAM リソースタイプのコンプライアンスを報告する定期ルールは、サポートされているリージョンの 1 つにのみデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。
リージョンのサポート
現在、 AWS Config ルール機能は以下の AWS リージョンでサポートされています。どのリージョンで個々の AWS Config ルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。
リージョン名 | リージョン | エンドポイント | プロトコル |
---|---|---|---|
米国東部 (オハイオ) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
米国東部 (バージニア北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
米国西部 (北カリフォルニア) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
米国西部 (オレゴン) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
アジアパシフィック (マレーシア) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
アジアパシフィック (タイ) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
メキシコ (中部) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
AWS 組織のメンバーアカウント間での AWS Config ルールのデプロイは、次のリージョンでサポートされています。
リージョン名 | リージョン | エンドポイント | プロトコル |
---|---|---|---|
米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |