翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンフォーマンスパック内の AWS Config プロセスチェック
プロセスチェックは、コンフォーマンスパックの一部として検証が必要な外部タスクと内部タスクを追跡できるようにする AWS Config ルールの一種です。これらのチェックは、既存のコンフォーマンスパックまたは新しいコンフォーマンスパックに追加できます。AWS Config 期間と手動チェックを含むすべてのコンフォーマンスを一箇所で追跡することができます。
プロセスチェックを使用すると、要件とアクションのコンプライアンスを 1 か所で一覧表示できます。これらのプロセスチェックは、コンプライアンス制度に基づくコンフォーマンスパックの適用範囲を拡大するのに役立ちます。手動による検証と追跡が必要なプロセスとアクションを追跡する新しいプロセスチェックを追加することで、コンフォーマンスパックをさらに拡張できます。これにより、コンフォーマンスパックがコンプライアンスレジームの AWS Config 期間と手動プロセスの詳細が盛り込まれたテンプレートになります。
コンフォーマンスパック内のリソース設定の変更に関連付けられていないプロセスのコンプライアンスを、プロセスチェックとして追跡し管理できます。例えば、オフサイトの場所にメディアバックアップを保存するために、PCI-DSS コンプライアンス要件を追跡するプロセスチェックを追加できます。PCI-DSS のガイドラインまたは組織のガイダンスに従って、このコンプライアンスを手動で評価します。
利用可能なリージョン: コンフォーマンスパックを使用したプロセスチェックは、コンフォーマンスパックがサポートされているすべてのAWS リージョンリージョンAWS Configで利用できます。詳細については、「リージョンのサポート」を参照してください。
トピック
プロセスチェックを作成するためのサンプルコンフォーマンスパックのテンプレート
################################################################################ # # Conformance Pack template for process check # ################################################################################ Resources: AWSConfigProcessCheck: Properties: ConfigRuleName: RuleName Description: Description of Rule Source: Owner: AWS SourceIdentifier: AWS_CONFIG_PROCESS_CHECK Type: AWS::Config::ConfigRule
2 つのテンプレート ( CIS AWS Foundations Benchmark v1.4 Level 1 に関する運用上のベストプラクティス テンプレートと CIS AWS Foundations Benchmark v1.4 Level 2 に関する運用上のベストプラクティス テンプレート) を参照してください。
コンフォーマンスパック内にプロセスチェックを含める
-
コンフォーマンスパックテンプレートにプロセスチェックを追加します。前述のサンプルテンプレートを参照してください。
Resources: ConfigEnabledAllRegions: Properties: ConfigRuleName: Config-Enabled-All-Regions Description: Ensure AWS Config is enabled in all Regions. Source: Owner: AWS SourceIdentifier: AWS_CONFIG_PROCESS_CHECK Type: AWS::Config::ConfigRule -
プロセスチェックの名前を入力します。
-
プロセスチェックの説明を入力します。
-
AWS マネジメントコンソールからコンフォーマンスパックをデプロイします。詳細については、「AWS Config コンソールを使用したコンフォーマンスパックのデプロイ」を参照してください。
注記
コンフォーマンスパックは、Command Line Interface (AWS CLI) を使用してデプロイすることもできます。詳細については、「AWS Command Line Interfaceを使用したコンフォーマンスパックのデプロイ」を参照してください。
プロセスチェックのコンプライアンスステータスの変更
プロセスチェックのコンプライアンスステータスの変更 (コンソール)
AWS Management Console にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/
) を開きます。 -
AWS Config [Rule] (AWS Config ルール) ページに移動します。
-
テンプレートで指定したプロセスチェックの名前と、コンフォーマンスパックの識別子を選択します。
注記
同じコンフォーマンスパックからのプロセスチェックには、すべて同じプレフィックスが付いています。
-
Rule details (ルールの詳細) ページでは、ルールを編集することはできませんが、ルールのコンプライアンスを編集することができます。[Manual compliance] (手動コンプライアンス) セクションで、[Edit compliance] (コンプライアンスの編集) をクリックします。
-
ドロップダウンリストから適切なコンプライアンスを選択します。
-
(オプション) コンプライアンスステータスの説明を入力します。
-
[Save] を選択します。
コンプライアンスステータスを変更したら、コンフォーマンスパックに戻り、プロセスチェックとその説明を表示します。
プロセスチェック (CLI) のコンプライアンスステータスの変更
AWS Command Line Interface (AWS CLI) を使用して、コンフォーマンスパック内のプロセスチェックのコンプライアンスを更新できます。
AWS CLI をローカルマシンにインストールする方法については、https://docs.aws.amazon.com/cli/latest/userguide/installing.html ユーザーガイドの「AWS CLIAWS CLI のインストール」を参照してください。
必要に応じて、AWS Configure と入力し、AWS CLI が AWS Config コンフォーマンスパックを利用できる AWS リージョンを使用するように設定します。
-
コマンドプロンプトまたはターミナルウィンドウを開きます。
-
プロセスチェックのコンプライアンスを更新するには、次のコマンドを入力します。
ComplianceResourceIdにはAccount IDを入力し、ルールの名前を含めます。aws configservice put-external-evaluation --config-rule-name process-check-rule-name --external-evaluation ComplianceResourceType=AWS::::Account,ComplianceResourceId=Account ID,ComplianceType=NON_COMPLIANT,OrderingTimestamp=2020-12-17T00:10:00.000Z -
Enter キーを押してコマンドを実行します。
プロセスチェック (API) のコンプライアンスステータスの変更
デプロイが完了したら、PutExternalEvaluation API を使用してプロセスチェックの評価とコンプライアンスを更新します。詳細については、PutExternalEvaluation を参照してください。
プロセスチェックの表示と編集 (コンソール)
プロセスチェックは、コンプライアンス状態がプロセスチェックに追加された後にのみ表示できます。特定のコンフォーマンスパックを選択して、そのコンフォーマンスパック内のすべてのプロセスチェックを表示します。ここには、準拠ステータスおよび非準拠ステータスのプロセスチェックのリストが表示されます。
これはサービスがリンクされているルールであるため、[Rule details] (ルールの詳細) ページでプロセスチェックを編集することはできません。
注記
ただし、[Edit Compliance] (コンプライアンスの編集) をクリックし、[Compliant] (準拠)、[Non-Compliant] (非準拠)、または [Not-Applicable](該当なし) から適切な値を選択すると、プロセスチェックのコンプライアンスを更新することができます。
プロセスチェックを追加したコンフォーマンスパックから、プロセスチェックを編集または削除できます。
