AWS Config 評価モード別のマネージドルールのリスト

AWS Config 現在、以下のマネージドルールをサポートしています。

注記

マネージドルールに指定されたデフォルト値は、コンソールを使用する場合にのみ事前に入力されます。 AWS デフォルト値が API、CLI、または SDK に自動設定されることはありません。

プロアクティブな評価

プロアクティブルールは、デプロイ前のリソースに対するプロアクティブ評価モードをサポートするルールです。これにより、リソースの定義に使用されるリソースプロパティのセットが AWS COMPLIANT になるか、NON_COMPLIANT になるかを評価できます。これは、お住まいの地域のアカウントに設定されているプロアクティブなルールセットに基づいて判断できます。詳細については、「評価モード」を参照してください。

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

プロアクティブな評価

• api-gw-xray-enabled

• autoscaling-group-elb-healthcheck-必須

• ec2-instance-multiple-eni-check

• eip-attached

• elasticsearch-node-to-node-暗号化チェック

• lambda-function-settings-check

• lambda-inside-vpc

• rds-automatic-minor-version-アップグレード対応

• rds-enhanced-monitoring-enabled

• rds-instance-public-access-チェック

• rds-multi-az-support

• rds-storage-encrypted

• redshift-cluster-maintenancesettings-check

• redshift-cluster-public-access-チェック

• s3-bucket-logging-enabled

• sns-encrypted-kms

• subnet-auto-assign-public-IP アドレス無効

検出評価

検出ルールは、デプロイ後のリソースに対する検出評価モードをサポートするルールです。これにより、既存のリソース構成の設定を評価できます。

注記

現在、 AWS Config すべてのルールで探偵評価がサポートされています。

検出評価

• access-keys-rotated

• account-part-of-organizations

• acm-certificate-expiration-check

• acm-certificate-rsa-check

• acm-pca-root-ca-無効

• alb-desync-mode-check

• alb-http-drop-invalid-ヘッダー有効

• alb-http-to-https-リダイレクション-チェック

• alb-waf-enabled

• api-gwv2-access-logs-enabled

• api-gwv2-authorization-type-configured

• api-gw-associated-with-waf

• api-gw-cache-enabledそして暗号化

• api-gw-endpoint-type-チェック

• api-gw-execution-logging-有効

• api-gw-ssl-enabled

• api-gw-xray-enabled

• approved-amis-by-id

• approved-amis-by-tag

• appsync-associated-with-waf

• appsync-authorization-check

• appsync-cache-encryption-at-レスト

• appsync-logging-enabled

• athena-workgroup-encrypted-at-レスト

• aurora-last-backup-recovery-ポイント作成

• aurora-meets-restore-time-ターゲット

• aurora-mysql-backtracking-enabled

• aurora-resources-protected-by-バックアッププラン

• autoscaling-capacity-rebalancing

• autoscaling-group-elb-healthcheck-必須

• autoscaling-launchconfig-requires-imdsv2

• autoscaling-launch-config-hop-リミット

• autoscaling-launch-config-public-ip-無効

• autoscaling-launch-template

• autoscaling-multiple-az

• autoscaling-multiple-instance-types

• backup-plan-min-frequency-and-min-retention-check

• backup-recovery-point-encrypted

• backup-recovery-point-manual-削除-無効

• backup-recovery-point-minimum-リテンションチェック

• beanstalk-enhanced-health-reporting-有効

• clb-desync-mode-check

• clb-multiple-az

• cloudformation-stack-drift-detection-チェック

• cloudformation-stack-notification-check

• cloudfront-accesslogs-enabled

• cloudfront-associated-with-waf

• cloudfront-custom-ssl-certificate

• cloudfront-default-root-object-設定済み

• cloudfront-no-deprecated-ssl-プロトコル

• cloudfront-origin-access-identity-有効

• cloudfront-origin-failover-enabled

• クラウドフロント-s3-origin-access-control-enabled

• クラウドフロント-3-origin-non-existent-bucket

• cloudfront-security-policy-check

• cloudfront-sni-enabled

• cloudfront-traffic-to-origin-暗号化

• cloudfront-viewer-policy-https

• cloudtrail-s3-dataevents-enabled

• cloudtrail-security-trail-enabled

• cloudwatch-alarm-action-check

• cloudwatch-alarm-action-enabled-チェック

• cloudwatch-alarm-resource-check

• cloudwatch-alarm-settings-check

• cloudwatch-log-group-encrypted

• cloud-trail-cloud-watch-ログ有効

• cloud-trail-enabled

• cloud-trail-encryption-enabled

• cloud-trail-log-file-検証有効

• cmk-backing-key-rotation-有効

• codebuild-project-artifact-encryption

• codebuild-project-environment-privileged-チェック

• codebuild-project-envvar-awscred-チェック

• codebuild-project-logging-enabled

• codebuild-project-s3 ログ-暗号化

• codebuild-project-source-repo-URL チェック

• codedeploy-auto-rollback-monitor-有効

• コードデプロイ-ec2-minimum-healthy-hosts-configured

• codedeploy-lambda-allatonce-traffic-シフト無効

• codepipeline-deployment-count-check

• codepipeline-region-fanout-check

• custom-eventbus-policy-attached

• custom-schema-registry-policy-添付

• cw-loggroup-retention-period-チェック

• dax-encryption-enabled

• dax-tls-endpoint-encryption

• db-instance-backup-enabled

• desired-instance-tenancy

• desired-instance-type

• dms-auto-minor-version-アップグレード-チェック

• dms-endpoint-ssl-configured

• dms-mongo-db-authentication-有効

• dms-neptune-iam-authorization-有効

• dms-redis-tls-enabled

• dms-replication-not-public

• dms-replication-task-sourcedb-ロギング

• dms-replication-task-targetdb-ロギング

• docdb-cluster-audit-logging-有効

• docdb-cluster-backup-retention-チェック

• docdb-cluster-deletion-protection-有効

• docdb-cluster-encrypted

• docdb-cluster-snapshot-public-禁止

• dynamodb-autoscaling-enabled

• dynamodb-in-backup-plan

• dynamodb-last-backup-recovery-ポイント作成

• dynamodb-meets-restore-time-ターゲット

• dynamodb-pitr-enabled

• dynamodb-resources-protected-by-バックアッププラン

• dynamodb-table-deletion-protection-有効

• dynamodb-table-encrypted-kms

• dynamodb-table-encryption-enabled

• dynamodb-throughput-limit-check

• ebs-in-backup-plan

• ebs-last-backup-recovery-ポイント作成

• ebs-meets-restore-time-ターゲット

• ebs-optimized-instance

• ebs-resources-protected-by-バックアッププラン

• ebs-snapshot-public-restorable-チェック

• ec2-対応 client-vpn-connection-log

• ec2-すべて client-vpn-not-authorize

• ec2-ebs-encryption-by-default

• ec2-imdsv2-check

• ec2-instance-detailed-monitoring-enabled

• ec2-instance-managed-by-ssm

• ec2-instance-multiple-eni-check

• ec2-instance-no-public-ip

• ec2-instance-profile-attached

• ec2 last-backup-recovery-point-が作成されました

• ec2--無効 launch-template-public-ip

• ec2-managedinstance-applications-blacklisted

• ec2-managedinstance-applications-required

• ec2-managedinstance-association-compliance-status-チェック

• ec2-managedinstance-inventory-blacklisted

• ec2-managedinstance-patch-compliance-status-チェック

• ec2-managedinstance-platform-check

• ec2-meets-restore-time-target

• ec2-no-amazon-key-pair

• ec2-paravirtual-instance-check

• ec2 resources-protected-by-backup-プラン

• ec2--エニ security-group-attached-to

• ec2--半周期的 security-group-attached-to

• ec2-stopped-instance

• ec2-token-hop-limit-check

• ec2-transit-gateway-auto-vpc-アタッチ無効

• ec2-volume-inuse-check

• ecr-private-image-scanning-有効

• ecr-private-lifecycle-policy-設定済み

• ecr-private-tag-immutability-有効

• ecs-awsvpc-networking-enabled

• ecs-containers-nonprivileged

• ecs-containers-readonly-access

• ecs-container-insights-enabled

• ecs-fargate-latest-platform-バージョン

• ecs-no-environment-secrets

• ecs-task-definition-log-コンフィギュレーション

• ecs-task-definition-memory-ハードリミット

• ecs-task-definition-nonroot-ユーザ

• ecs-task-definition-pid-モードチェック

• ecs-task-definition-user-for-host-mode-check

• efs-access-point-enforce-ルートディレクトリ

• efs-access-point-enforce-ユーザーアイデンティティ

• efs-encrypted-check

• efs-in-backup-plan

• efs-last-backup-recovery-ポイント作成

• efs-meets-restore-time-ターゲット

• efs-mount-target-public-アクセス可能

• efs-resources-protected-by-バックアッププラン

• eip-attached

• eks-cluster-logging-enabled

• eks-cluster-log-enabled

• eks-cluster-oldest-supported-バージョン

• eks-cluster-secrets-encrypted

• eks-cluster-supported-version

• eks-endpoint-no-public-アクセス

• eks-secrets-encrypted

• elasticache-auto-minor-version-アップグレード-チェック

• elasticache-rbac-auth-enabled

• elasticache-redis-cluster-automatic-バックアップチェック

• elasticache-repl-grp-auto-フェールオーバー対応

• elasticache-repl-grp-encrypted-静止中

• elasticache-repl-grp-encrypted-輸送中

• elasticache-repl-grp-redis-認証有効

• elasticache-subnet-group-check

• elasticache-supported-engine-version

• elasticsearch-encrypted-at-rest

• elasticsearch-in-vpc-only

• elasticsearch-logs-to-cloudwatch

• elasticsearch-node-to-node-暗号化チェック

• elastic-beanstalk-logs-to-クラウドウォッチ

• elastic-beanstalk-managed-updates-有効

• elbv2-acm-certificate-required

• elbv2-multiple-az

• elb-acm-certificate-required

• elb-cross-zone-load-バランシング対応

• elb-custom-security-policy-SSL チェック

• elb-deletion-protection-enabled

• elb-logging-enabled

• elb-predefined-security-policy-SSL チェック

• elb-tls-https-listeners-のみ

• emr-block-public-access

• emr-kerberos-enabled

• emr-master-no-public-ip

• encrypted-volumes

• fms-shield-resource-policy-チェック

• fms-webacl-resource-policy-チェック

• fms-webacl-rulegroup-association-チェック

• fsx-last-backup-recovery-ポイント作成

• fsx-lustre-copy-tagsバックアップへ

• fsx-meets-restore-time-ターゲット

• fsx-openzfs-copy-tags-有効

• fsx-resources-protected-by-バックアッププラン

• fsx-windows-audit-log-設定済み

• global-endpoint-event-replication-有効

• guardduty-enabled-centralized

• guardduty-non-archived-findings

• iam-customer-policy-blocked-kms-アクション

• iam-group-has-users-チェック

• iam-inline-policy-blocked-kms-アクション

• iam-no-inline-policy-チェック

• iam-password-policy

• iam-policy-blacklisted-check

• iam-policy-in-use

• iam-policy-no-statements-with-admin-access

• iam-policy-no-statements-with-full-access

• iam-role-managed-policy-チェック

• iam-root-access-key-チェック

• iam-user-group-membership-チェック

• iam-user-mfa-enabled

• iam-user-no-policies-チェック

• iam-user-unused-credentials-チェック

• incoming-ssh-disabled

• instances-in-vpc

• internet-gateway-authorized-vpc-のみ

• kinesis-firehose-delivery-stream-暗号化

• kinesis-stream-encrypted

• kms-cmk-not-scheduled-削除用

• lambda-concurrency-check

• lambda-dlq-check

• lambda-function-public-access-禁止

• lambda-function-settings-check

• lambda-inside-vpc

• lambda-vpc-multi-az-チェック

• macie-auto-sensitive-data-ディスカバリーチェック

• macie-status-check

• mfa-enabled-for-iam-コンソールアクセス

• mq-active-deployment-mode

• mq-automatic-minor-version-アップグレード対応

• mq-auto-minor-version-アップグレード対応

• mq-cloudwatch-audit-logging-有効

• mq-cloudwatch-audit-log-有効

• mq-no-public-access

• mq-rabbit-deployment-mode

• msk-enhanced-monitoring-enabled

• msk-in-cluster-node-TLS が必要です

• multi-region-cloud-trail-有効

• nacl-no-unrestricted-ssh-rdp

• neptune-cluster-backup-retention-チェック

• neptune-cluster-cloudwatch-log-エクスポート対応

• neptune-cluster-copy-tags-to-snapshot-enabled

• neptune-cluster-deletion-protection-有効

• neptune-cluster-encrypted

• neptune-cluster-iam-database-認証

• neptune-cluster-multi-az-有効

• neptune-cluster-snapshot-encrypted

• neptune-cluster-snapshot-public-禁止

• netfw-deletion-protection-enabled

• netfw-logging-enabled

• netfw-multi-az-enabled

• netfw-policy-default-action-フラグメントパケット

• netfw-policy-default-action-フルパケット

• netfw-policy-rule-group-関連

• netfw-stateless-rule-group-空ではない

• nlb-cross-zone-load-バランシング対応

• no-unrestricted-route-to-igw

• opensearch-access-control-enabled

• opensearch-audit-logging-enabled

• opensearch-data-node-fault-トレランス

• opensearch-encrypted-at-rest

• opensearch-https-required

• opensearch-in-vpc-only

• opensearch-logs-to-cloudwatch

• opensearch-node-to-node-暗号化-チェック

• opensearch-primary-node-fault-トレランス

• opensearch-update-check

• rds-aurora-mysql-audit-ロギング対応

• rds-automatic-minor-version-アップグレード対応

• rds-cluster-auto-minor-version-upgrade-enable

• rds-cluster-default-admin-チェック

• rds-cluster-deletion-protection-有効

• rds-cluster-encrypted-at-レスト

• rds-cluster-iam-authentication-有効

• rds-cluster-multi-az-有効

• rds-db-security-group-不可

• rds-enhanced-monitoring-enabled

• rds-instance-default-admin-チェック

• rds-instance-deletion-protection-有効

• rds-instance-iam-authentication-有効

• rds-instance-public-access-チェック

• rds-in-backup-plan

• rds-last-backup-recovery-ポイント作成

• rds-logging-enabled

• rds-meets-restore-time-ターゲット

• rds-multi-az-support

• rds-resources-protected-by-バックアッププラン

• rds-snapshots-public-prohibited

• rds-snapshot-encrypted

• rds-storage-encrypted

• redshift-audit-logging-enabled

• redshift-backup-enabled

• redshift-cluster-configuration-check

• redshift-cluster-kms-enabled

• redshift-cluster-maintenancesettings-check

• redshift-cluster-public-access-チェック

• redshift-default-admin-check

• redshift-default-db-name-チェック

• redshift-enhanced-vpc-routing-有効

• redshift-require-tls-ssl

• required-tags

• restricted-incoming-traffic

• root-account-hardware-mfa-有効

• root-account-mfa-enabled

• ルート 53-query-logging-enabled

• S3-のみ access-point-in-vpc

• S3 access-point-public-access-ブロック

• s3-ブロック account-level-public-access

• s3--ブロック-定期的 account-level-public-access

• s3-bucket-acl-prohibited

• S3-bucket-blacklisted-actions-prohibited

• S3-bucket-cross-region-replication 対応

• s3-bucket-default-lock-enabled

• s3-bucket-level-public-access-禁止されています

• s3-bucket-logging-enabled

• S3-bucket-mfa-delete-enabled

• S3-bucket-policy-grantee-check

• s3-bucket-policy-not-more-パーミッシブ

• s3-bucket-public-read-prohibited

• S3-bucket-public-write-prohibited

• S3-bucket-replication-enabled

• S3-bucket-server-side-encryption 対応

• s3-bucket-ssl-requests-only

• S3-bucket-versioning-enabled

• S3-default-encryption-kms

• S3-event-notifications-enabled

• S3-last-backup-recovery-point-作成済み

• s3-lifecycle-policy-check

• S3-meets-restore-time-target

• S3 resources-protected-by-backup-プラン

• s3-version-lifecycle-policy-check

• sagemaker-endpoint-configuration-kms-キー設定

• sagemaker-endpoint-config-prod-インスタンスカウント

• sagemaker-notebook-instance-inside-vpc

• sagemaker-notebook-instance-kms-キー設定

• sagemaker-notebook-instance-root-アクセスチェック

• sagemaker-notebook-no-direct-インターネットアクセス

• secretsmanager-rotation-enabled-check

• secretsmanager-scheduled-rotation-success-チェック

• secretsmanager-secret-periodic-rotation

• secretsmanager-secret-unused

• secretsmanager-using-cmk

• securityhub-enabled

• security-account-information-provided

• service-catalog-shared-within-組織

• service-vpc-endpoint-enabled

• ses-malware-scanning-enabled

• shield-advanced-enabled-autorenew

• shield-drt-access

• sns-encrypted-kms

• sns-topic-message-delivery-通知有効

• ssm-document-not-public

• step-functions-state-machine-ロギング有効

• storagegateway-last-backup-recovery-ポイント作成

• storagegateway-resources-protected-by-バックアップ計画

• subnet-auto-assign-public-IP 無効

• transfer-family-server-no-ftp

• virtualmachine-last-backup-recovery-ポイント作成

• virtualmachine-resources-protected-by-バックアップ計画

• vpc-default-security-group-クローズ

• vpc-flow-logs-enabled

• vpc-network-acl-unused-チェック

• vpc-peering-dns-resolution-チェック

• vpc-sg-open-only-to-authorized-ports

• vpc-vpn-2-tunnels-up

• wafv2-logging-enabled

• wav 2-rulegroup-logging-enabled

• wav2-rulegroup-not-empty

• wav2-webacl-not-empty

• waf-classic-logging-enabled

• waf-global-rulegroup-not-空

• waf-global-rule-not-空

• waf-global-webacl-not-空

• waf-regional-rulegroup-not-空

• waf-regional-rule-not-空

• waf-regional-webacl-not-空