の自動修復のセットアップ AWS Config - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の自動修復のセットアップ AWS Config

非準拠のリソースに修復を適用するには、事前入力されたリストから関連付ける修復アクションを選択するか、SSM ドキュメントを使用して独自のカスタム修復アクションを作成します。 は、 で推奨される修復アクションのリスト AWS Config を提供します AWS Management Console。

Setting Up Auto Remediation (Console)

では AWS Management Console、修復アクションを AWS Config ルールに関連付けることで、非準拠のリソースを自動的に修復することを選択できます。すべての修復アクションで、手動修復または自動修復のいずれかを選択できます。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. 左側の [ルール] を選択後、[ルール] ページで [ルールの追加] を選択して、新しいルールをルールリストに追加します。

    既存のルールの場合は、ルールリストから非準拠のルールを選択後、[Actions] (アクション) を選択します。

  3. [Actions] (アクション) ドロップダウンリストから、[Manage remediation] (修復の管理) を選択します。Automatic remediation (自動修復) を選択後、修復リストから適切な修復アクションを選択します。

    注記

    管理できるのは、サービスにリンクされていない AWS Config ルールの修復のみです。詳細については、「サービスにリンクされた AWS ルール」を参照してください。

    選択した修復アクションに応じて、特定のパラメータが表示されるか、パラメータは表示されません。

  4. [Auto remediation] (自動修復) を選択して、非準拠のリソースを自動的に修復します。

    自動修復後もリソースがまだ非準拠である場合は、自動修復を再試行するようにルールを設定できます。目的の再試行階数と秒数を入力します。

    注記

    修復スクリプトを複数回実行するとコストがかかります。修復が失敗し、指定された期間内に処理が行われた場合にのみ再試行を実行します。例えば、300 秒に 5 回再試行します。詳細については、「Systems Manager Automation の料金」を参照してください。

  5. (オプション): 非準拠のリソースのリソース ID を修復アクションに渡す場合は、リソース ID パラメータ を選択します。選択した場合は、そのパラメータは実行時に、修復されるリソースの ID に置き換えられます。

    各パラメータの値は、静的または動的です。ドロップダウンリストから特定のリソース ID パラメータを選択していない場合は、キーごとに値を入力することができます。ドロップダウンリストからリソース ID パラメータを選択した場合は、その他のすべてのキーの値を入力できます (選択したリソース ID のパラメータを除く)。

  6. [Save] を選択します。ルール ページが表示されます。

失敗した修復アクションのトラブルシューティング

失敗した修復アクションのトラブルシューティングについては、 AWS コマンドラインインターフェイスコマンドを実行してdescribe-remediation-execution-status、一連のリソースの修復実行の詳細ビューを取得できます。詳細には、状態、修復実行ステップのタイムスタンプ、失敗したステップのエラーメッセージが含まれます。

準拠しているリソースでも自動修復を開始できます

PutRemediationConfigurations API または AWS Config コンソールを使用して特定の AWS Config ルールの自動修復を有効にすると、その特定のルールのすべての非準拠リソースの修復プロセスが開始されます。自動修復プロセスは、定期的にキャプチャされるコンプライアンスデータスナップショットに依存します。スナップショットスケジュール間で更新された非準拠リソースは、最後に確認されたコンプライアンスデータスナップショットに基づいて引き続き修正されます。

つまり、ブートストラッププロセッサは、最後に既知のコンプライアンスデータスナップショットに基づいて古い評価結果を持つデータベースを使用するため、場合によっては、準拠しているリソースであっても自動修復を開始できます。

Setting Up Auto Remediation (API)

自動修復を設定するには、次の AWS Config API オペレーションを使用します。