を使用した X-Ray 暗号化の設定変更の追跡AWS Config - AWS X-Ray

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した X-Ray 暗号化の設定変更の追跡AWS Config

AWS X-Rayの との統合AWS Configをクリックして X-Ray 暗号化リソースに対して行われた設定変更を記録します。次を使用できます。AWS Configでは、X-Ray 暗号化リソースのインベントリ作成、X-Ray の設定履歴の監査、およびリソースの変更に基づく通知の送信が行えます。

AWS Configは、次の X-Ray 暗号化リソースの変更をイベントとして記録することができます。

  • 設定変更— 暗号化キーを変更または追加したり、デフォルトの X-Ray 暗号化設定に戻したりします。

次の手順に従って、X-Ray と間の基本的な接続を作成する方法を学習してください。AWS Config。

Lambda 関数トリガーの作成

カスタム AWS Config ルールを生成する前に、カスタム AWS Lambda 関数の ARN が必要です。以下の手順に従い、XrayEncryptionConfig リソースの状態に基づいて、準拠している値または準拠しない値を AWS Config に返す基本的な関数を Node.js で作成します。

AWS::XrayEncryptionConfig 変更トリガーを使用して Lambda 関数を作成するには

  1. Lambda コンソールを開きます。[Create function] (関数の作成) をクリックします。

  2. [設計図] を選択し、config-rule-change-triggered 設計図の設計図ライブラリをフィルタします。設計図の名前のリンクをクリックするか、[設定] をクリックして続行します。

  3. 以下のフィールドを定義して設計図を設定します。

    • [Name] (名前) に、名前を入力します。

    • [Role] で、[Create new role from template(s)] を選択します。

    • Role name に名前を入力します。

    • [ポリシーテンプレート] で、[AWS Config ルールのアクセス権限] を選択します。

  4. [関数の作成] を選択し、AWS Lambda コンソールで関数を作成および表示します。

  5. 関数コードを編集して、AWS::EC2::InstanceAWS::XrayEncryptionConfig に置き換えます。説明フィールドを更新して、この変更を反映することもできます。

    デフォルトのコード

    if (configurationItem.resourceType !== 'AWS::EC2::Instance') { return 'NOT_APPLICABLE'; } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) { return 'COMPLIANT'; } return 'NON_COMPLIANT';

    更新されたコード

    if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') { return 'NOT_APPLICABLE'; } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) { return 'COMPLIANT'; } return 'NON_COMPLIANT';
  6. X-Ray へアクセスのため、IAM の実行ロールに以下を追加します。これらのアクセス権限により、X-Ray リソースへの読み取り専用アクセスが許可されます。適切なリソースへのアクセス権を提供しない場合、から範囲外メッセージが返されます。AWS Configルールに関連付けられた Lambda 関数を評価する時点。

    { "Sid": "Stmt1529350291539", "Action": [ "xray:GetEncryptionConfig" ], "Effect": "Allow", "Resource": "*" }

X-Ray 用のカスタム AWS Config ルールの作成

Lambda 関数が作成されたら、関数の ARN をメモし、AWS Configコンソールを使用してカスタムルールを作成します。

を作成するにはAWS ConfigX-Ray のルール

  1. コンソールの [ルールAWS Config] ページを開きます

  2. [ルールの追加] ページを選択し、[カスタムルールを追加] を選択します。

  3. EclipseAWS Lambda関数 ARNで、使用する Lambda 関数に関連付けられた ARN を挿入します。

  4. 設定するトリガーのタイプを選択します。

    • 設定変更 - ルールの範囲に該当するリソースで設定が変更されると、AWS Config によって評価がトリガーされます。AWS Config で設定項目の変更通知が送信されると、評価が実行されます。

    • 定期的 - 指定した間隔 (24 時間ごとなど) で AWS Config がルールの評価を実行します。

  5. を使用する場合[リソースタイプ]で、EncryptionConfigX-Ray セクションにあります。

  6. [Save] (保存) を選択します。

AWS Config コンソールは、ルールのコンプライアンスの評価をすぐに開始します。評価は完了までに数分かかることがあります。

これでこのルールに準拠し、AWS Config で監査履歴のコンパイルを開始できるようになります。AWS Config は、タイムラインの形式でリソースの変更を記録します。AWS Config はイベントのタイムラインの変更ごとに、変更前/変更後の形式でテーブルを作成し、暗号化キーの JSON 表現の変更内容を示します。EncryptionConfig に関連付けられた 2 つのフィールド変更は、Configuration.typeConfiguration.keyID です。

結果の例

次に示すのは、特定の日時に行われた変更を示す AWS Config タイムラインの例です。


      AWS Configタイムライン

次に示すのは、AWS Config の変更エントリの例です。変更前/変更後の形式で変更内容を示します。この例では、デフォルトの X-Ray 暗号化設定が定義済みの暗号化キーに変更されたことを示しています。


      X-Ray 暗号化の設定変更エントリ

Amazon SNS の通知

設定変更の通知を受け取るには、AWS Configをクリックして Amazon SNS 通知を発行します。詳細については、「E メールによる AWS Config リソースの変更のモニタリング」を参照してください。