AWS Config マネージドルール - AWS Config

AWS Config マネージドルール

AWS Config は、AWS マネージドルールを提供します。マネージドルールは、定義済みのカスタマイズ可能なルールであり、AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config で使用します。例えば、マネージドルールを使用すると、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうか、または特定のタグがリソースに適用されているかどうかの評価をすぐに開始できます。マネージドルールを設定して有効化するのに、コードを記述して AWS Lambda 関数を作成する必要はありません (カスタムルールを作成する場合は必要です)。マネージドルールは、AWS Config コンソールの手順に従って設定および有効化できます。AWS Command Line Interface または AWS Config API を使用して、マネージドルールの設定を定義する JSON コードを渡すこともできます。

マネージドルールの動作は、ニーズに合わせてカスタマイズできます。例えば、ルールの評価をトリガーするリソースを EC2 インスタンスやボリュームなどに制限するようにルールのスコープを定義できます。ルールのパラメータをカスタマイズして、ルールに準拠するためにリソースに必要とされる属性を定義できます。例えば、パラメータをカスタマイズして、特定のポート番号に着信するトラフィックをセキュリティグループでブロックするように指定できます。

ルールを有効化すると、AWS Config はリソースをルールの条件と比較します。AWS Config ルールには、プロアクティブ評価検出評価の 2 つの評価モードがあります。

プロアクティブ評価を使用して、リソースをプロビジョニングする前にリソースを評価します。これにより、リソースの作成または更新の前に、リソース構成の設定を評価できます。検出評価を使用して、既にプロビジョニングされているリソースの設定を評価します。これにより、既存のリソース構成の設定を評価できます。

プロアクティブ評価では、トリガーのタイプは次の 1 つだけです。

  • 設定変更 — AWS Config によって、事前にプロビジョニングされたリソースの設定に変更があったときに評価を開始します。AWS Config設定項目の変更通知を送信後に、評価が実行されます。

検出評価には次の 2 つのタイプのトリガーがあります。

  • 設定変更 — AWS Config によって、ルールの範囲に該当するプロビジョニング後のリソースの設定に変更があったときに評価をトリガーします。AWS Config設定項目の変更通知を送信後に、評価が実行されます。

  • 定期的 - 指定した間隔 (24 時間ごとなど) で AWS Config がルールの評価を実行します。

AWS Config コンソールには、どのルールに従い、どのリソースが準拠しているかが表示されます。詳細については、「設定のコンプライアンスの確認」を参照してください。