AWS Config マネージドルール - AWS Config

AWS Config マネージドルール

AWS Config は、AWS マネージドルールを提供します。マネージドルールは、定義済みのカスタマイズ可能なルールであり、AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config で使用します。例えば、マネージドルールを使用すると、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうか、または特定のタグがリソースに適用されているかどうかの評価をすぐに開始できます。マネージドルールを設定して有効化するのに、コードを記述して AWS Lambda 関数を作成する必要はありません (カスタムルールを作成する場合は必要です)。マネージドルールは、AWS Config コンソールの手順に従って設定および有効化できます。AWS Command Line Interface または AWS Config API を使用して、マネージドルールの設定を定義する JSON コードを渡すこともできます。

マネージドルールの動作は、ニーズに合わせてカスタマイズできます。例えば、ルールの評価をトリガーするリソースを EC2 インスタンスやボリュームなどに制限するようにルールのスコープを定義できます。ルールのパラメータをカスタマイズして、ルールに準拠するためにリソースに必要とされる属性を定義できます。例えば、パラメータをカスタマイズして、特定のポート番号に着信するトラフィックをセキュリティグループでブロックするように指定できます。

ルールを有効化すると、AWS Config はリソースをルールの条件と比較します。この初期評価後は、評価がトリガーされるたびに AWS Config で評価が実行されます。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。

  • 設定変更 - ルールの範囲に該当するリソースで設定が変更されると、AWS Config によって評価がトリガーされます。AWS Config設定項目の変更通知を送信後に、評価が実行されます。

  • 定期的 - 指定した間隔 (24 時間ごとなど) で AWS Config がルールの評価を実行します。

AWS Config コンソールには、どのルールに従い、どのリソースが準拠しているかが表示されます。詳細については、「設定のコンプライアンスの確認」を参照してください。