AWS Config ルールの管理 - AWS Config

AWS Config ルールの管理

AWS Config コンソール、AWS CLI、および AWS Config API を使用してルールを表示、追加、および削除できます。

ルールの追加、表示、更新、削除 (コンソール)

[Rules] (ルール) ページで、アカウントのリージョンのルールを表示できます。各ルールの評価ステータスを確認することもできます。

ルールを表示するには

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Management Console で、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスAWS Config リージョンとエンドポイントを参照してください。

  3. [Rules] (ルール) を選択します。[Rule] (ルール) ページには、現在 AWS アカウント にあるルールがすべて表示されます。ここには、各ルールの名前、関連する修復アクション、およびコンプライアンスステータスが一覧表示されます。

    • [Add rule] (ルールの追加) を選択し、ルールの作成を開始します。

    • ルールを選択して設定を表示するか、ルールを選択して [View details] (詳細を表示) をクリックします。

    • リソースを評価したときのルールのコンプライアンス状態が表示されます。

    • ルールを選択し、[Edit rule] (ルールの編集) をクリックしてルールの設定を変更し、準拠していないルールの修復アクションを設定します。

ルールを更新するには

  1. 更新するルールを選択し、[Edit rule] (ルールの編集) をクリックします。

  2. 必要に応じて [Edit rule] (ルールの編集) ページの設定を変更し、ルールを変更します。

  3. Save を選択します。

ルールを削除するには

  1. テーブルから削除するルールを選択します。

  2. [Actions] (アクション) ドロップダウンリストから、[Delete rule] (ルールの削除) を選択します。

  3. プロンプトが表示されたら、「Delete」(大文字と小文字を区別) と入力し、[Delete] (削除) をクリックします。

ルールを追加するには

Add rule を選択すると、AWSAdd rule ページに利用可能な マネージドルールが表示されます。独自のカスタムルールを作成することもできます。

  1. 独自のルールを作成する場合は、[Add custom rule] (カスタムルールの追加) を選択し、「カスタム Lambda ルール (一般的な例)」の手順に従います。

  2. マネージドルールを追加するには、ページでルールを選択し、「AWS Config マネージドルールの使用」の手順に従います。

[Add rule] (ルールの追加) ページでは、以下の操作を実行できます。

  • [Add custom rule] (カスタムルールの追加) を選択して独自のルールを作成します。

  • 検索フィールドに入力して、ルール名、説明、またはラベルで結果をフィルタリングします。例えば、「EC2」と入力すると、EC2 リソースタイプを評価するルールが返されます。「periodic」と入力すると、定期的なトリガーのルールが返されます。新しく追加されたルールを検索するには、「new」と入力します。トリガータイプの詳細については、「AWS Config ルールのトリガーの指定」を参照してください。

  • 結果をアルファベット順に並べ替えるには、[Name] (名前) ラベルの横の矢印をクリックします。

  • 矢印アイコンを選択してルールの次のページを表示します。

  • 最近追加されたルールが [New] (新規) としてマークされます。

  • ラベルから、ルールで評価されるリソースタイプと、定期的なトリガーがあるかどうかがわかります。

ルールの追加、表示、更新、削除 (AWS CLI)

ルールを表示するには

  • describe-config-rulesコマンドを使用します。

    $ aws configservice describe-config-rules

    AWS Config からすべてのルールの詳細が返されます。

ルールを更新するには

  1. put-config-rule command コマンドと --generate-cli-skeleton パラメータを使用して、ルールのパラメータを含むローカル JSON ファイルを作成します。

    $ aws configservice put-config-rule --generate-cli-skeleton > putConfigRule.json
  2. JSON ファイルをテキストエディタで開き、更新する必要がないパラメータを削除します。ただし、以下は例外です。

    • ルールを識別するために以下のパラメータの少なくとも 1 つを含めます。

      ConfigRuleNameConfigRuleArn、、ConfigRuleId

    • カスタムルールを更新する場合は、Source オブジェクトとそのパラメータを含める必要があります。

  3. 残ったパラメータの値を入力します。ルールの詳細を参照するには、describe-config-rules コマンドを使用します。

    例えば、次の JSON コードではカスタムルールのスコープ内にあるリソースタイプが更新されます。

    { "ConfigRule": { "ConfigRuleName": "ConfigRuleName", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] } } }
  4. put-config-rule コマンドと --cli-input-json パラメータを使用して、JSON 設定を AWS Config に渡します。

    $ aws configservice put-config-rule --cli-input-json file://putConfigRule.json
  5. ルールが正常に更新されたことを確認するには、describe-config-rules コマンドを使用してルールの設定を表示します。

    $ aws configservice describe-config-rules --config-rule-name ConfigRuleName { "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "ConfigRuleName": "ConfigRuleName", "ConfigRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-nnnnnn", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "ConfigRuleId": "config-rule-nnnnnn" } ] }

ルールを削除するには

  • 次の例に示す delete-config-rule コマンドを使用します。

    $ aws configservice delete-config-rule --config-rule-name ConfigRuleName

ルールの追加、表示、更新、削除 (API)

ルールを表示するには

DescribeConfigRules アクションを使用します。

ルールを更新または追加するには

PutConfigRule アクションを使用します。

ルール () を削除するには

DeleteConfigRule アクションを使用します。

注記

ルールの評価結果が無効な場合は、これらの結果を削除してから、ルールを修正して別の評価を実行できます。詳細については、「評価結果の削除」を参照してください。