AWS Config マネージドルールの使用 - AWS Config

AWS Config マネージドルールの使用

AWS マネージドルールは、AWS Management Console、AWS CLI、または AWS Config API で設定して有効化できます。

AWS マネージドルールの設定と有効化 (コンソール)

  1. AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/) を開きます。

  2. AWS Management Console メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされるリージョンの一覧については、Amazon Web Services 全般のリファレンスAWS Config リージョンとエンドポイントを参照してください。

  3. 左のナビゲーションで、[ルール] を選択します。

  4. [Rules (ルール)] ページで、[Add rule (ルールの追加)] を選択します。

  5. [ルール] ページで、以下の操作を実行できます。

    • 検索フィールドに入力して、ルール名、説明、ラベルで結果をフィルタリングします。例えば、[EC2] と入力すると、EC2 リソースタイプを評価するルールが返されます。[periodic] と入力すると、定期的にトリガーされるルールが返されます。

    • 矢印アイコンを選択してルールの次のページを表示します。最近追加したルールが [New (新規)] としてマークされます。

  6. 作成するルールを選択します。

  7. [ルールの設定] ページで、以下のステップを実行してルールを設定します。

    1. [名前] に、ルールの一意の名前を入力します。

    2. ルールのトリガータイプとして [Configuration changes] (設定変更) を選択した場合、AWS Config が Lambda 関数を呼び出す [Scope of changes] (変更範囲) で以下のいずれかのオプションを指定します。

      • [Resource] (リソース) – 指定したリソースタイプや、リソースタイプおよび識別子と一致するリソースが作成、変更、または削除された場合。

      • [Tags] (タグ) – 指定したタグを含むリソースが作成、変更、または削除された場合。

      • [All changes] (すべての変更) – AWS Config によって記録されたリソースが作成、変更、または削除された場合。

    3. ルールのトリガータイプとして [Periodic] (定期的) を選択した場合、AWS Config が Lambda 関数を呼び出す [Frequency] (頻度) を指定します。

    4. ルールに [ルールのパラメータ] セクションのパラメータを指定した場合は、提供されたキーの値をカスタマイズできます。パラメータは、ルールに COMPLIANT であるとみなされるためにリソースに必要な属性です。

  8. [Save] を選択します。新しいルールが [Rules (ルール)] ページに表示されます。

    AWS Config にルールの評価結果が出るまでは、[Compliance] (コンプライアンス) に [Evaluating...] (評価中) と表示されます。結果の概要が数分後に表示されます。結果は、更新ボタンを使用して更新できます。

    ルールまたは関数が正常に動作していない場合は、[Compliance (コンプライアンス)] に以下のいずれかが表示されます。

    • [No results reported (報告される結果がありません)] - AWS Config でルールに対してリソースが評価されました。ルールがスコープ内の AWS リソースに適用されなかったか、指定したリソースが削除されたか、または評価結果が削除されました。評価結果を取得するには、ルールを更新するか、スコープを変更するか、または [Re-evaluate (再評価)] を選択します。

      このメッセージは、ルールから評価結果が報告されなかった場合にも表示される場合があります。

    • [No resources in scope (対象にリソースがありません)] - 記録された AWS Config リソースは、このルールのスコープ内にないため、AWS ではこのルールに対してリソースを評価できません。評価結果を取得するには、ルールを編集してスコープを変更するか、[AWS ConfigSettings] ページで記録対象の のリソースを追加します。

    • [Evaluations failed (評価が失敗しました)] - 問題の原因を判断するには、ルール名を選択して詳細ページを開き、エラーメッセージを確認します。

AWS マネージドルールの有効化 (AWS CLI)

put-config-rule コマンドを実行します。

AWS マネージドルールの有効化 (API)

PutConfigRule アクションを使用します。