AWS Config
開発者ガイド

非準拠の AWS リソースおよび AWS Config ルールの修復

AWS Config では、AWS Config Rules で評価されたとおりに、非準拠のリソースに修復を適用できます。AWS Config では、AWS Systems Manager オートメーションドキュメントを使用して修復が適用されます。これらのドキュメントでは、AWS Config Rules によって評価された非準拠の AWS リソースに対して実行されるアクションを定義します。SSM ドキュメントは AWS マネジメントコンソール または API を使用して関連付けることができます。

非準拠のリソースに修復を適用するために、マネージド型オートメーションドキュメント一式が AWS Config から修復アクションに渡されます。カスタムのオートメーションドキュメントを作成して AWS Config Rules に関連付けることもできます。

前提条件

非準拠のリソース、remediation に修復を適用する前に、ルールを選択して、そのルールの修復をセットアップする必要があります。修復は、コンソールの 3 つの場所からセットアップできます。以下の手順では、各ワークフローに関する詳細について説明します。

修復のセットアップ

  1. ルールを修復するには、左ナビゲーションペインから [ルール] を選択します。

  2. [ルール] ページで、[Add Rule (ルールの追加)] を選択して新しいルールをルールリストに追加するか、ルールリストから非準拠のルールを選択して [編集] を選択します。

  3. [Editname of the rule (ルールの名前の編集)] ページの [Choose remediation action (修復アクションの選択)] セクションで、リストから適切な修復アクションを選択します。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  4. 非準拠のリソースのリソース ID を修復アクションに渡す場合は、[リソース ID パラメータ] を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  5. [Save] を選択します。[ルール] ページが表示されます。

ルールを使用した修復の適用

修復は、左の [ルール] から非準拠ルールに適用できます。

  1. ルールを修復するには、左の [ルール] を選択します。

  2. [ルール] ページで、[Add Rule (ルールの追加)] を選択して新しいルールをルールリストに追加するか、ルールリストから非準拠のルールを選択して [Manage remediation (修復の管理)] を選択します。

  3. [Manage remediation: (修復の管理:)name of the rule (ルールの名前)] ページで、適切な修復アクションを選択します。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  4. 非準拠のリソースのリソース ID を修復アクションに渡す場合は、[リソース ID パラメータ] を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  5. [Save] を選択します。

  6. [Choose resources in scope (対象のリソースを選択)] セクションで、非準拠のリソースをすべて選択します。対象のリソースには、このルールが適用されるリソースと、その準拠ステータスが含まれます。

    リソースの詳細については、[リソースアクション] を選択後、[View details (詳細の表示)]、[Configuration timeline (設定タイムライン)]、[コンプライアンスタイムライン] の順に選択します。

  7. [修復] を選択します。

    リソースが修復されている場合、リソースの準拠ステータスは「準拠」です。準拠リソースを表示するには、準拠ステータスリストから [準拠] を選択します。

    リソースが修復されていない場合は、[Action execution failed (details)] とアクションステータス列に表示されます。[(詳細)] を選択すると、修復アクションの実行時に呼び出される主なアクションステップと、各アクションステップのステータスが表示されます。リソースが更新されず、エラーが表示された場合は、AWS サポートまでお問い合わせください。

リソースを使用した修復の適用

修復は、左の [リソース] から非準拠ルールに適用できます。

  1. 非準拠ルールに修復を適用するには、左の [リソース] を選択します。

  2. [リソース] は、[Resource inventory (リソースインベントリ)] ページでデフォルトで選択されています。リソースタイプから 1 つ以上のリソースを選択し、[Look up (検索)] を選択します。

  3. リソーステーブルから適切な非準拠リソースの名前を選択します。

  4. [Resource details: (リソースの詳細:) リソースの名前] ページで、対象のルールから非準拠のルールを 1 つ以上選択します。

  5. [ルールアクション]、[Manage remediation (修復の管理)] の順に選択します。

  6. [Manage remediation: (修復の管理:)name of the rule (ルールの名前)] ページで、適切な修復アクションを選択します。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  7. 非準拠のリソースのリソース ID を修復アクションに渡す場合は、[リソース ID パラメータ] を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  8. [Save] を選択します。

  9. [Choose resources in scope (対象のリソースを選択)] セクションで、非準拠のリソースをすべて選択します。対象のリソースには、このルールが適用されるリソースと、その準拠ステータスが含まれます。

    リソースの詳細については、[リソースアクション] を選択後、[View details (詳細の表示)]、[Configuration timeline (設定タイムライン)]、[コンプライアンスタイムライン] の順に選択します。

  10. [修復] を選択します。

    リソースが修復されている場合、リソースの準拠ステータスは「準拠」です。準拠リソースを表示するには、準拠ステータスリストから [準拠] を選択します。

    リソースが修復されていない場合は、[Action execution failed (details)] とアクションステータス列に表示されます。[(詳細)] を選択すると、修復アクションの実行時に呼び出される主なアクションステップと、各アクションステップのステータスが表示されます。リソースが更新されず、エラーが表示された場合は、AWS サポートまでお問い合わせください。

AWS Config API アクションで修復を管理する