AWS Config ルールを使用した非準拠リソースの修復 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールを使用した非準拠リソースの修復

AWS Config では、 によって評価される非準拠のリソースを修復できます AWS Config ルール。 AWS Config はAWS Systems Manager 、オートメーションドキュメント を使用して修復を適用します。これらのドキュメントは、 によって評価される非準拠 AWS リソースに対して実行されるアクションを定義します AWS Config ルール。SSM ドキュメントは、 AWS Management Console または API を使用して関連付けることができます。

AWS Config は、修復アクションを含む一連のマネージドオートメーションドキュメントを提供します。カスタムオートメーションドキュメントを作成して AWS Config ルールに関連付けることもできます。

非準拠リソースに修復を適用するには、事前入力されたリストから関連付ける修復アクションを選択するか、SSM ドキュメントを使用して独自のカスタム修復アクションを作成します。 は、 で修復アクションの推奨リスト AWS Config を提供します AWS Management Console。

では AWS Management Console、修復アクションを AWS Config ルールに関連付けることで、非準拠のリソースを手動または自動的に修復することを選択できます。すべての修復アクションで、手動修復または自動修復のいずれかを選択できます。

前提条件

非準拠のリソースに修復を適用する前に、ルールを選択して、そのルールに修復 (手動または自動) を設定する必要があります。

手動修復の設定 (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. 左側の [Rules] (ルール) を選択後、[Rules] (ルール) ページで [Add Rule] (ルールの追加) を選択して、新しいルールをルールリストに追加します。

    既存のルールの場合は、ルールリストから非準拠のルールを選択後、[Actions] (アクション) を選択します。

  3. [アクション] ドロップダウンリストから、[修復の管理] を選択します。[マニュアル修復] を選択後、リストから適切な修復アクションを選択します。

    注記

    管理できるのは、サービスにリンクされていない AWS Config ルールの修復のみです。詳細については、「サービスにリンクされた AWS ルール」を参照してください。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  4. (オプション): 非準拠のリソースのリソース ID を修復アクションに渡す場合は、リソース ID パラメータ を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  5. [保存] を選択します。ルール ページが表示されます。

失敗した修復アクションのトラブルシューティングについては、 AWS コマンドラインインターフェイスコマンドを実行して、一連のリソースの修復実行の詳細ビューdescribe-remediation-execution-statusを取得できます。詳細には、状態、修復実行ステップのタイムスタンプ、失敗したステップのエラーメッセージが含まれます。

自動修復の設定 (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. 左側の [ルール] を選択後、[ルール] ページで [ルールの追加] を選択して、新しいルールをルールリストに追加します。

    既存のルールの場合は、ルールリストから非準拠のルールを選択後、[Actions] (アクション) を選択します。

  3. [Actions] (アクション) ドロップダウンリストから、[Manage remediation] (修復の管理) を選択します。Automatic remediation (自動修復) を選択後、修復リストから適切な修復アクションを選択します。

    注記

    管理できるのは、サービスにリンクされていない AWS Config ルールの修復のみです。詳細については、「サービスにリンクされた AWS ルール」を参照してください。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  4. [Auto remediation] (自動修復) を選択して、非準拠のリソースを自動的に修復します。

    自動修復後もリソースが準拠していない場合は、自動修復を再試行するようにルールを設定できます。目的の再試行階数と秒数を入力します。

    注記

    修復スクリプトを複数回実行するとコストがかかります。修復が失敗し、指定された期間内に処理が行われた場合にのみ再試行を実行します。例えば、300 秒に 5 回再試行します。

  5. (オプション): 非準拠のリソースのリソース ID を修復アクションに渡す場合は、リソース ID パラメータ を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  6. [保存] を選択します。ルール ページが表示されます。

失敗した修復アクションのトラブルシューティング

失敗した修復アクションのトラブルシューティングについては、 AWS コマンドラインインターフェイスコマンドを実行して、一連のリソースの修復実行の詳細ビューdescribe-remediation-execution-statusを取得できます。詳細には、状態、修復実行ステップのタイムスタンプ、失敗したステップのエラーメッセージが含まれます。

準拠しているリソースであっても自動修復を開始できます

PutRemediationConfigurations API または AWS Config コンソールを使用して特定の AWS Config ルールの自動修復を有効にすると、その特定のルールのすべての非準拠リソースの修復プロセスが開始されます。自動修復プロセスは、定期的にキャプチャされるコンプライアンスデータスナップショットに依存します。スナップショットスケジュール間で更新される非準拠リソースは、最新の既知のコンプライアンスデータスナップショットに基づいて引き続き修正されます。

つまり、ブートストラッププロセッサは、最後に既知のコンプライアンスデータスナップショットに基づいて古い評価結果を持つデータベースを使用するため、場合によっては、準拠しているリソースであっても自動修復を開始できます。

修復アクションの削除 (コンソール)

ルールを削除するにはまずこのルールに関連付けられた修復アクションを削除する必要があります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. 左側から [Rules] (ルール) を選択したら、[Rules] (ルール) ページでルールのリストからルールを選び、[View details](詳細を表示) を選択します。

  3. リポジトリの [name of the rule] (ルールの名前) ページで、[Remediation action] (修復アクション) セクションに追加します。セクションを展開し、追加の詳細を表示します。

  4. [Remediation action] (修復アクション) セクションで、[Delete] (削除) をクリックし、削除アクションを確認します。

    注記

    修復が進行中の場合には、修復アクションは削除されません。Delete remediation action (修復アクションの削除) を選択すると、修復アクションを回復することはできません。修復アクションを削除しても、関連付けられたルールは削除されません。

    修復アクションが削除されると、[Resource ID parameter] (リソース ID パラメータ) は空になり、N/A と表示されます。[Rules] (ルール) ページで、修復アクション列に関連付けられたルールに対して [Not set] (設定されていません) と表示されます。

修復の管理 (API)

手動修復

次の AWS Config API アクションを使用して修復を管理します。

  • DeleteRemediation設定 、修復設定を削除します。

  • DescribeRemediation設定 は、1 つ以上の修復設定の詳細を返します。

  • DescribeRemediationExecutionStatusは、状態、修復実行のステップが発生したときのタイムスタンプ、失敗したステップのエラーメッセージなど、一連のリソースの修復実行の詳細なビューを提供します。

  • PutRemediation設定 は、選択したターゲットまたはアクションを持つ特定の AWS Config ルールで修復設定を追加または更新します。

  • StartRemediation実行 は、最後の既知の修復設定に対して、指定された AWS Config ルールのオンデマンド修復を実行します。

自動修復

自動修復を管理するには、次の AWS Config API アクションを使用します。

リージョンのサポート

現在、 AWS Config ルールの修復アクションは、次のリージョンでサポートされています。

リージョン名 リージョン エンドポイント プロトコル
米国東部 (オハイオ) us-east-2 config.us-east-2.amazonaws.com HTTPS
米国東部 (バージニア北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
米国西部 (北カリフォルニア) us-west-1 config.us-west-1.amazonaws.com HTTPS
米国西部 (オレゴン) us-west-2 config.us-west-2.amazonaws.com HTTPS
アフリカ (ケープタウン) af-south-1 config.af-south-1.amazonaws.com HTTPS
アジアパシフィック (香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
アジアパシフィック (ハイデラバード) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
アジアパシフィック (ジャカルタ) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
アジアパシフィック (メルボルン) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
アジアパシフィック (ムンバイ) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
アジアパシフィック (大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
アジアパシフィック (ソウル) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
アジアパシフィック (シンガポール) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
アジアパシフィック (シドニー) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
アジアパシフィック (東京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
カナダ (中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
カナダ西部 (カルガリー) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
欧州 (フランクフルト) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧州 (アイルランド) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧州 (ロンドン) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
ヨーロッパ (ミラノ) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧州 (パリ) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧州 (スペイン) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧州 (ストックホルム) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧州 (チューリッヒ) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
イスラエル (テルアビブ) il-central-1 config.il-central-1.amazonaws.com HTTPS
中東 (バーレーン) me-south-1 config.me-south-1.amazonaws.com HTTPS
中東 (アラブ首長国連邦) me-central-1 config.me-central-1.amazonaws.com HTTPS
南米 (サンパウロ) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (米国東部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (米国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS