AWS Config マネージドルール - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config マネージドルール

AWS Config には、 AWS マネージドルール が用意されています。これは、 が AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config 使用する、事前定義されたカスタマイズ可能なルールです。例えば、マネージドルールを使用すると、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうか、または特定のタグがリソースに適用されているかどうかの評価をすぐに開始できます。 AWS Config コンソールでは、マネージドルールを設定およびアクティブ化するプロセスについて説明します。 AWS Command Line Interface または AWS Config API を使用して、マネージドルールの設定を定義する JSON コードを渡すこともできます。

マネージドルールの動作は、ニーズに合わせてカスタマイズできます。例えば、ルールの評価をトリガーするリソースを EC2 インスタンスやボリュームなどに制限するようにルールのスコープを定義できます。ルールのパラメータをカスタマイズして、ルールに準拠するためにリソースに必要とされる属性を定義できます。例えば、パラメータをカスタマイズして、特定のポート番号に着信するトラフィックをセキュリティグループでブロックするように指定できます。

コストについて

リソース記録に関連するコストの詳細については、AWS Config 「 の料金」を参照してください。

推奨事項: ルールを削除する前にリソースコンプライアンスの記録を停止する

アカウントのルールを削除する前に、AWS::Config::ResourceComplianceリソースタイプの記録を停止することを強くお勧めします。ルールを削除するAWS::Config::ResourceComplianceと、 の設定項目 (CIsが作成され、 AWS Config 設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、記録された CIs の数が増加する可能性があります。

ベストプラクティス:

  1. 録画を停止する AWS::Config::ResourceCompliance

  2. ルールを削除する (複数可)

  3. の録画を有効にする AWS::Config::ResourceCompliance

トリガータイプ

アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 は、評価がトリガーされるたびに評価の実行を AWS Config 続行します。評価トリガーはルールの一部として定義され、次のタイプを含めることができます。

トリガータイプ 説明
設定変更 AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。

どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。

  • 1 つ以上のリソースタイプ

  • リソースタイプとリソース ID の組み合わせ

  • タグキーとタグ値の組み合わせ

  • 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。

定期的 AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。
ハイブリッド 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定の変更を検出したときと、指定した頻度でリソース AWS Config を評価します。

評価モード

AWS Config ルールには 2 つの評価モードがあります。

評価モード 説明
プロアクティブ

プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、 リージョンのアカウントにあるプロアクティブルールのセットを考慮して、リソースを定義するために AWS リソースプロパティのセットが COMPLIANT か NON_COMPLIANT かを評価することができます。

詳細については、「評価モード」を参照してください。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

検出 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。
注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。