AWS Config ルールの管理 - AWS Config

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

AWS Config ルールの管理

AWS Config コンソール、AWS CLI、および AWS Config API を使用してルールを表示、追加、および削除できます。

ルールの追加、表示、更新、削除 (コンソール)

[Rules (ルール)] ページで、アカウントのリージョンのルールを表示できます。各ルールの評価ステータスを確認することもできます。

ルールを表示するには

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/config/ にある AWS Config コンソールを開きます。

  2. AWS マネジメントコンソール で、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、『アマゾン ウェブ サービス全般のリファレンス』の「AWS Config のリージョンとエンドポイント」を参照してください。

  3. [Rules (ルール)] を選択します。[Rules (ルール)] ページに、各ルールとそのコンプライアンス状態が一覧表示されます。

ルールの表示方法を示す AWS Config ルールページ。
  1. [Add rule (ルールの追加)] を選択し、ルールの作成を開始します。

  2. ルール名を選択すると、その設定が表示されます。

  3. リソースを評価したときのルールのコンプライアンス状態が表示されます。

  4. [Edit rule (ルールの編集)] アイコン (Edit rule icon.) を選択してルールを編集します。

  5. 更新 (Edit rule icon.) アイコンを選択して、コンプライアンス結果を再ロードします。

ルールを更新するには

  1. 更新するルールの [Edit rule (ルールの編集)] アイコン (Edit rule icon.) を選択します。

  2. 必要に応じて [Config rule (Config ルール)] ページの設定を変更し、ルールを変更します。

  3. [Save] を選択します。

ルールを削除するには

  1. 削除するルールの [Edit rule (ルールの編集)] アイコン (Edit rule icon.) を選択します。

  2. [Configure rule (ルールの設定)] ページで、[Delete rule (ルールの削除)] を選択します。

  3. プロンプトが表示されたら、[削除] を選択します。

ルールを追加するには

[Add rule (ルールの追加)] を選択すると、[Add rule (ルールの追加)] ページに利用可能な AWS マネージドルールが表示されます。独自のカスタムルールを作成することもできます。

  1. 独自のルールを作成する場合は、[Add custom rule (カスタムルールの追加)] を選択し、「AWS Config のカスタムルールの作成」の手順に従います。

  2. マネージドルールを追加するには、ページでルールを選択し、「AWS Config マネージドルールの使用」の手順に従います。

設定後のルールの管理方法を示す AWS Config ルールページ。

[Add rule (ルールの追加)] ページでは、以下の操作を実行できます。

  1. [Add custom rule (カスタムルールの追加)] を選択して独自のルールを作成します。

  2. 検索フィールドに入力して、ルール名、説明、またはラベルで結果をフィルタリングします。たとえば、「EC2」と入力すると、EC2 リソースタイプを評価するルールが返されます。「periodic」と入力すると、定期的なトリガーのルールが返されます。新しく追加されたルールを検索するには、「new」と入力します。トリガータイプの詳細については、「AWS Config ルールのトリガーの指定」を参照してください。

  3. 矢印アイコンを選択してルールの次のページを表示します。

  4. 最近追加したルールが [New (新規)] としてマークされます。

  5. ラベルから、ルールで評価されるリソースタイプと、定期的なトリガーがあるかどうかがわかります。

ルールの追加、表示、更新、削除 (AWS CLI)

ルールを表示するには

  • describe-config-rules コマンドを実行します。

    $ aws configservice describe-config-rules

    AWS Config からすべてのルールの詳細が返されます。

ルールを更新するには

  1. put-config-rule コマンドと --generate-cli-skeleton パラメータを使用して、ルールのパラメータを含むローカル JSON ファイルを作成します。

    $ aws configservice put-config-rule --generate-cli-skeleton > putConfigRule.json
  2. JSON ファイルをテキストエディタで開き、更新する必要がないパラメータを削除します。ただし、以下は例外です。

    • ルールを識別するために以下のパラメータの少なくとも 1 つを含めます。

      ConfigRuleNameConfigRuleArnConfigRuleId

    • カスタムルールを更新する場合は、Source オブジェクトとそのパラメータを含める必要があります。

  3. 残ったパラメータの値を入力します。ルールの詳細を参照するには、describe-config-rules コマンドを使用します。

    たとえば、次の JSON コードではカスタムルールのスコープ内にあるリソースタイプが更新されます。

    { "ConfigRule": { "ConfigRuleName": "ConfigRuleName", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] } } }
  4. put-config-rule コマンドと --cli-input-json パラメータを使用して、JSON 設定を AWS Config に渡します。

    $ aws configservice put-config-rule --cli-input-json file://putConfigRule.json
  5. ルールが正常に更新されたことを確認するには、describe-config-rules コマンドを使用してルールの設定を表示します。

    $ aws configservice describe-config-rules --config-rule-name ConfigRuleName { "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "ConfigRuleName": "ConfigRuleName", "ConfigRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-nnnnnn", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "ConfigRuleId": "config-rule-nnnnnn" } ] }

ルールを削除するには

  • 次の例に示すように delete-config-rule コマンドを使用します。

    $ aws configservice delete-config-rule --config-rule-name ConfigRuleName

ルールの追加、表示、更新、削除 (API)

ルールを表示するには

DescribeConfigRules アクションを使用します。

ルールを更新または追加するには

PutConfigRule アクションを使用します。

ルールを削除するには

DeleteConfigRule アクションを使用します。

注記

ルールの評価結果が無効な場合は、これらの結果を削除してから、ルールを修正して別の評価を実行できます。詳細については、「評価結果の削除」を参照してください。