fms-security-group-audit-policy-check - AWS Config

fms-security-group-audit-policy-check

inScope リソースに関連付けられたセキュリティグループが、各ルールレベルでマスターセキュリティグループに準拠しているかどうかを、allowSecurityGroup および denySecurityGroup フラグに基づいて確認します。

注記

AWS Firewall Manager のみがこのルールを作成できます。

識別子: FMS_SECURITY_GROUP_AUDIT_POLICY_CHECK

トリガータイプ: 設定変更

AWS リージョン: 中国 (北京)、中国 (寧夏)、AWS GovCloud (米国東部)、AWS GovCloud (US-West)、中東 (バーレーン)、アジアパシフィック (香港)、アフリカ (ケープタウン)、ヨーロッパ (ミラノ) を除く、サポートされているすべての AWS リージョン

パラメータ:

masterSecurityGroupsIds (必須)

マスターセキュリティグループ ID のカンマ区切りリスト。ルールは、セキュリティグループに関連付けられた inScope リソースが各ルールレベルでマスターセキュリティグループに準拠しているかどうかをチェックします。

resourceTags (必須)

ルールに関連付けられているリソースタグ (例: { "tagKey1" : ["tagValue1"], "tagKey2" : ["tagValue2", "tagValue3"] }")。

inScope (必須)

true の場合、AWS Config ルールの所有者は Firewall Manager セキュリティグループ監査ポリシーの対象になります。

excludeResourceTags (必須)

true の場合、resourceTags に一致するリソースを除外します。

resourceTypes (必須)

Amazon EC2 インスタンス、Elastic Network Interface、セキュリティグループなど、このルールでサポートされているリソースタイプ。

fmsRemediationEnabled (必須)

true の場合、AWS Firewall Manager は FMS ポリシーに従って NON_COMPLIANT リソースを更新します。AWS Config は、このルールを作成するときに、このパラメータを無視します。

allowSecurityGroup (必須)

true の場合、ルールはすべての inScope セキュリティグループが参照セキュリティグループのインバウンド/アウトバウンドルール内にあることを確認します。

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。