AWS Config カスタムポリシールールの作成 - AWS Config
コンソールを使用する場合AWS CLIの使用API リファレンスの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config カスタムポリシールールの作成

AWS Management Console、AWS CLI、または AWS Config API から、AWS Config カスタムポリシールールを作成できます。Guard でルールを記述する方法の詳細については、「AWS CloudFormation Guard ユーザーガイド」の「Guard ルールの記述」を参照してください。が評価AWS Configできるサポートされているリソースタイプのスキーマの詳細については、 Resource Schema GitHub リポジトリのAWS Config「resource-types」を参照してください。

重要

設定項目を評価する AWS Config リソーススキーマは、AWS CloudFormation テンプレートを評価する CFN スキーマとは異なります。AWS Config カスタムポリシールールに CFN スキーマを使用すると、評価結果は NOT_APPLICABLE が返されます。AWS Config カスタムポリシールールを作成するときには、AWS Config リソーススキーマを使用し、設定項目の構造に基づいてポリシーを記述します。AWS Config リソーススキーマのリストについては、 Resource Schema GitHub リポジトリのAWS Config「resource-types」を参照してください。

AWS Config カスタムポリシールールの作成 (コンソール)

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Management Consoleのメニューで、リージョンセレクタが AWS Config ルールをサポートする AWS リージョンにリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンス のリージョンとエンドポイント」を参照してください。

  3. 左のナビゲーションで、ルール を選択します。

  4. [Rules] (ルール) ページで、A[dd rule] (ルールの追加) を選択します。

  5. [Specify rule type] (ルールタイプの指定) ページで [Create custom rule using Guard] (Guard を使用したカスタムルールの作成) を選択します。

  6. [ルールの設定] ページで、以下のステップを完了してルールを作成します。

    1. [Rule name] (ルール名) に、ルールの一意の名前を入力します。

    2. [説明] に、ルールの説明を入力します。

    3. [Guard runtime version] (Guard ランタイムバージョン) で、AWS Config カスタムポリシールールのランタイムシステムを選択します。

    4. [Rule Content] (ルールコンテンツ) は、ルールの Guard カスタムポリシーで入力できます。Guard Custom ポリシーの構造と機能の詳細については、Guard GitHub リポジトリのAWS CloudFormation「Guard 2.0 のオペレーションモード」を参照してください。

      注記

      設定項目を評価する AWS Config リソーススキーマは、AWS CloudFormation テンプレートを評価する CFN スキーマとは異なります。AWS Config カスタムポリシールールに CFN スキーマを使用すると、評価結果は NOT_APPLICABLE が返されます。AWS Config カスタムポリシールールを作成するときには、AWS Config リソーススキーマを使用し、設定項目の構造に基づいてポリシーを記述します。AWS Config リソーススキーマのリストについては、 Resource Schema GitHub リポジトリのAWS Config「resource-types」を参照してください。

      以下の例に、AWS Config マネージドルール dynamodb-pitr-enabled の AWS Config カスタムポリシールールバージョンのポリシー定義を示します。

      # This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables
let status = ['ACTIVE']

rule tableisactive when
    resourceType == "AWS::DynamoDB::Table" {
    configuration.tableStatus == %status
}

rule checkcompliance when
    resourceType == "AWS::DynamoDB::Table"
    tableisactive {
        let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus
        %pitr == "ENABLED"
}

    5. 評価モードでは、リソースの作成および管理プロセスのどの時点で AWS Config によりリソースを評価するかを選択します。ルールに応じて、AWS Config では、リソースのプロビジョニング前、リソースのプロビジョニング後、あるいはその両方でリソース構成を評価できます。

      1. [Turn on proactive evaluation] (プロアクティブな評価をオンにする) を選択すると、デプロイ前のリソースの構成設定に対して評価を実行できます。

        プロアクティブ評価を有効にしたら、 StartResourceEvaluation API と GetResourceEvaluationSummary API を使用して、これらのコマンドで指定したリソースが、リージョンのアカウントのプロアクティブルールによって NON_COMPLIANT とフラグ付けされるかどうかを確認できます。

        これらのコマンドの使用方法の詳細については、「AWS Config ルールでのリソースの評価」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

      2. 既存のリソースの構成設定を評価するには、[Turn on detective evaluation] (検出評価を有効にする) を選択します。

        検出評価の場合、AWS Config カスタムポリシールールは、[Configuration changes] (設定の変更) によって開始されます。このオプションは事前に選択されます。

        • [Resource] (リソース) – 指定したリソースタイプや、リソースタイプおよび識別子と一致するリソースが作成、変更、または削除された場合。

        • [Tags] (タグ) – 指定したタグを含むリソースが作成、変更、または削除された場合。

        • [All changes] (すべての変更) – AWS Config によって記録されたリソースが作成、変更、または削除された場合。

        AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを制限できます。それ以外の場合は、プロビジョニング後のリソースに変更があったときに評価が開始されます。

    6. [Parameters] (パラメータ) では、ルールにパラメータが含まれる場合、提供されたキーの値をカスタマイズできます。パラメータは、ルールに準拠しているとみなされるためにリソースが従う必要がある属性です。

  7. [Review and create] (確認と作成) ページで、AWS アカウントにルールを追加する前に、編集中のすべての選択項目を確認します。

  8. ルールの確認が完了したら、[ルールの追加] を選択します。

AWS Config カスタムポリシールールの作成 (AWS CLI)

put-config-ruleコマンドを実行します。

Owner フィールドは CUSTOM_POLICY になっている必要があります。AWS Config カスタムポリシールールには、以下に示す追加のフィールドが必須です。

  • Runtime: AWS Config カスタムポリシールールのランタイムシステム。

  • PolicyText: AWS Config カスタムポリシールールのロジックを含むポリシー定義。

  • EnableDebugLogDelivery: AWS Config カスタムポリシールールのデバッグログを有効にするためのブール式。デフォルト値は、falseです。

AWS Config カスタムポリシールールの作成 (CLI)

PutConfigRule アクションを使用します。

Owner フィールドは CUSTOM_POLICY になっている必要があります。AWS Config カスタムポリシールールには、以下に示す追加のフィールドが必須です。

  • Runtime: AWS Config カスタムポリシールールのランタイムシステム。

  • PolicyText: AWS Config カスタムポリシールールのロジックを定義するポリシー。

  • EnableDebugLogDelivery: AWS Config カスタムポリシールールのデバッグログを有効にするためのブール式。デフォルト値は、falseです。