翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config カスタムポリシールールの作成
AWS Management Console、AWS CLI、または AWS Config API から、AWS Config カスタムポリシールールを作成できます。Guard でルールを記述する方法の詳細については、「AWS CloudFormation Guard ユーザーガイド」の「Guard ルールの記述」を参照してください。が評価AWS Configできるサポートされているリソースタイプのスキーマの詳細については、 Resource Schema GitHub リポジトリのAWS Config「resource-types
重要
設定項目を評価する AWS Config リソーススキーマは、AWS CloudFormation テンプレートを評価する CFN スキーマとは異なります。AWS Config カスタムポリシールールに CFN スキーマを使用すると、評価結果は NOT_APPLICABLE
が返されます。AWS Config カスタムポリシールールを作成するときには、AWS Config リソーススキーマを使用し、設定項目の構造に基づいてポリシーを記述します。AWS Config リソーススキーマのリストについては、 Resource Schema GitHub リポジトリのAWS Config「resource-types
AWS Config カスタムポリシールールの作成 (コンソール)
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
AWS Management Consoleのメニューで、リージョンセレクタが AWS Config ルールをサポートする AWS リージョンにリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンス のリージョンとエンドポイント」を参照してください。
-
左のナビゲーションで、ルール を選択します。
-
[Rules] (ルール) ページで、A[dd rule] (ルールの追加) を選択します。
-
[Specify rule type] (ルールタイプの指定) ページで [Create custom rule using Guard] (Guard を使用したカスタムルールの作成) を選択します。
-
[ルールの設定] ページで、以下のステップを完了してルールを作成します。
-
[Rule name] (ルール名) に、ルールの一意の名前を入力します。
-
[説明] に、ルールの説明を入力します。
-
[Guard runtime version] (Guard ランタイムバージョン) で、AWS Config カスタムポリシールールのランタイムシステムを選択します。
-
[Rule Content] (ルールコンテンツ) は、ルールの Guard カスタムポリシーで入力できます。Guard Custom ポリシーの構造と機能の詳細については、Guard GitHub リポジトリのAWS CloudFormation「Guard 2.0 のオペレーションモード
」を参照してください。 注記
設定項目を評価する AWS Config リソーススキーマは、AWS CloudFormation テンプレートを評価する CFN スキーマとは異なります。AWS Config カスタムポリシールールに CFN スキーマを使用すると、評価結果は
NOT_APPLICABLE
が返されます。AWS Config カスタムポリシールールを作成するときには、AWS Config リソーススキーマを使用し、設定項目の構造に基づいてポリシーを記述します。AWS Config リソーススキーマのリストについては、 Resource Schema GitHub リポジトリのAWS Config「resource-types」を参照してください。 以下の例に、AWS Config マネージドルール dynamodb-pitr-enabled の AWS Config カスタムポリシールールバージョンのポリシー定義を示します。
# This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables let status = ['ACTIVE'] rule tableisactive when resourceType == "AWS::DynamoDB::Table" { configuration.tableStatus == %status } rule checkcompliance when resourceType == "AWS::DynamoDB::Table" tableisactive { let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus %pitr == "ENABLED" }
-
評価モードでは、リソースの作成および管理プロセスのどの時点で AWS Config によりリソースを評価するかを選択します。ルールに応じて、AWS Config では、リソースのプロビジョニング前、リソースのプロビジョニング後、あるいはその両方でリソース構成を評価できます。
-
[Turn on proactive evaluation] (プロアクティブな評価をオンにする) を選択すると、デプロイ前のリソースの構成設定に対して評価を実行できます。
プロアクティブ評価を有効にしたら、 StartResourceEvaluation API と GetResourceEvaluationSummary API を使用して、これらのコマンドで指定したリソースが、リージョンのアカウントのプロアクティブルールによって NON_COMPLIANT とフラグ付けされるかどうかを確認できます。
これらのコマンドの使用方法の詳細については、「AWS Config ルールでのリソースの評価」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。
-
既存のリソースの構成設定を評価するには、[Turn on detective evaluation] (検出評価を有効にする) を選択します。
検出評価の場合、AWS Config カスタムポリシールールは、[Configuration changes] (設定の変更) によって開始されます。このオプションは事前に選択されます。
-
[Resource] (リソース) – 指定したリソースタイプや、リソースタイプおよび識別子と一致するリソースが作成、変更、または削除された場合。
-
[Tags] (タグ) – 指定したタグを含むリソースが作成、変更、または削除された場合。
-
[All changes] (すべての変更) – AWS Config によって記録されたリソースが作成、変更、または削除された場合。
AWS Config は、ルールのスコープに該当するリソースで変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを制限できます。それ以外の場合は、プロビジョニング後のリソースに変更があったときに評価が開始されます。
-
-
-
[Parameters] (パラメータ) では、ルールにパラメータが含まれる場合、提供されたキーの値をカスタマイズできます。パラメータは、ルールに準拠しているとみなされるためにリソースが従う必要がある属性です。
-
-
[Review and create] (確認と作成) ページで、AWS アカウントにルールを追加する前に、編集中のすべての選択項目を確認します。
-
ルールの確認が完了したら、[ルールの追加] を選択します。
AWS Config カスタムポリシールールの作成 (AWS CLI)
put-config-rule
コマンドを実行します。
Owner
フィールドは CUSTOM_POLICY
になっている必要があります。AWS Config カスタムポリシールールには、以下に示す追加のフィールドが必須です。
-
Runtime
: AWS Config カスタムポリシールールのランタイムシステム。 -
PolicyText
: AWS Config カスタムポリシールールのロジックを含むポリシー定義。 -
EnableDebugLogDelivery
: AWS Config カスタムポリシールールのデバッグログを有効にするためのブール式。デフォルト値は、false
です。
AWS Config カスタムポリシールールの作成 (CLI)
PutConfigRule アクションを使用します。
Owner
フィールドは CUSTOM_POLICY
になっている必要があります。AWS Config カスタムポリシールールには、以下に示す追加のフィールドが必須です。
-
Runtime
: AWS Config カスタムポリシールールのランタイムシステム。 -
PolicyText
: AWS Config カスタムポリシールールのロジックを定義するポリシー。 -
EnableDebugLogDelivery
: AWS Config カスタムポリシールールのデバッグログを有効にするためのブール式。デフォルト値は、false
です。