の評価モードとトリガータイプ AWS Config ルール - AWS Config
トリガータイプ評価モードルールの評価

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の評価モードとトリガータイプ AWS Config ルール

アカウントにルールを追加するときに、リソースの作成および管理プロセスで必要なタイミングを指定できます。 AWS Config リソースを評価するには、 を使用します。リソースの作成と管理のプロセスは、リソースプロビジョニングと呼ばれます。評価モードを選択して、このプロセスのタイミングを指定します。 AWS Config リソースを評価するには、 を使用します。

ルールに応じて、 AWS Config は、リソースがデプロイされる前、リソースがデプロイされた後、またはその両方でリソース設定を評価できます。デプロイ前にリソースを評価するのは、プロアクティブ評価です。デプロイ後にリソースを評価するのは、検出評価です。

トリガータイプを選択して、 の頻度を指定することもできます。 AWS Config ルールは リソースを評価します。リソースは、設定変更時、定期的、あるいはその両方で評価できます。

トリガータイプ

アカウントにルールを追加したら、 AWS Config は、リソースをルールの条件と比較します。この最初の評価の後、 AWS Config は、評価がトリガーされるたびに評価を引き続き実行します。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。

トリガータイプ 説明
設定変更 AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は の後に実行されます。 AWS Config は、設定項目の変更通知を送信します。

どのリソースで評価を開始するかは、ルールのスコープで定義します。スコープには以下を含めることができます。

  • 1 つ以上のリソースタイプ

  • リソースタイプとリソース ID の組み合わせ

  • タグキーとタグ値の組み合わせ

  • 記録対象リソースの作成、更新、または削除時

AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。
定期的 AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。
ハイブリッド 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 AWS Config は、設定の変更を検出するとき、および指定した頻度でリソースを評価します。

評価モード

評価モードには 2 種類あります。

プロアクティブ評価は、デプロイ前にリソースを評価するために使用します。これにより、リソースプロパティのセットが の定義に使用されるかどうかを評価できます。 AWS リージョンのアカウントにあるプロアクティブルールのセットを考慮すると、 リソースは COMPLIANTまたは NON_COMPLIANT になります。

リソースタイプスキーマは、リソースのプロパティを記述します。リソースタイプスキーマは「」にあります。AWS パブリック拡張機能「 内 AWS CloudFormation レジストリまたはCLI次のコマンドを使用します。

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

詳細については、「 による拡張機能の管理」を参照してください。 AWS CloudFormation レジストリAWS の リソースおよびプロパティタイプのリファレンス AWS CloudFormation ユーザーガイド。

注記

プロアクティブルールは、NON_COMPLIANT とフラグが付けられたリソースを修正したり、デプロイを妨げたりしません。

プロアクティブ評価によるマネージドルールのリスト

プロアクティブ評価をサポートするマネージドルールのリストについては、「 のリスト」を参照してください。 AWS Config 評価モードによるマネージドルール

プロアクティブ評価がサポートされているリソースタイプのリスト

プロアクティブ評価がサポートされているリソースタイプのリストを以下に示します。

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

プロアクティブ評価によるルールの例

プロアクティブルールの例

  1. を追加します。 AWS Config S3 バケットでログ記録が有効になっているかどうかを確認するS3_BUCKET_LOGGING_ENABLEDための マネージドルール 。

  2. 評価モードの場合は、「」の「プロアクティブ評価を有効にする」を選択します。 AWS マネジメントコンソール、または EvaluationModesPutConfigRule PROACTIVEを有効にしますAPI。

プロアクティブ評価を有効にしたら、 StartResourceEvaluationAPIと を使用して、本番稼働環境にデプロイされていないアカウントのバケットでログ記録が有効になっていないかどうかGetResourceEvaluationSummaryAPIを確認できます。これにより、デプロイ前にリソースの設定をテストし、リソースを本番環境にデプロイするかどうかを再評価できます。

例えば、 から始めます StartResourceEvaluation API。

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::S3::Bucket",
                                     "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket1\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-bucket2\",\"LogFilePrefix\":\"my-log\"}}",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

出力に ResourceEvaluationId が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

次に、 ResourceEvaluationIdで GetResourceEvaluationSummary APIを使用して評価結果を確認します。

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

次のような出力が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-destination-bucket1\",\"LogFilePrefix\":\"my-log\"}}",

    }
}

リソースに NON_ というフラグを付けたルールなど、評価結果に関する追加情報を表示するにはCOMPLIANT、 GetComplianceDetailsByResource を使用しますAPI。

検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。

検出評価によるルールの例

変更によってトリガーされるルールの例

  1. マネージドルールの S3_BUCKET_LOGGING_ENABLED をアカウントに追加し、S3 バケットのログ記録が有効になっているかどうかを確認します。

  2. ルールのトリガータイプは、設定の変更です。 AWS Config は、S3 バケットの作成、変更、または削除時にルールの評価を実行します。

  3. バケットが更新されると、設定変更によってルールが開始され、 AWS Config は、バケットがルールに準拠しているかどうかを評価します。

定期的なルールの例

  1. マネージドルールの IAM_PASSWORD_POLICY をアカウントに追加します。このルールは、IAMユーザーのパスワードポリシーが、最小長や特定の文字を要求するなど、アカウントポリシーに準拠しているかどうかを確認します。

  2. ルールのトリガータイプは定期的です。 AWS Config は、24 時間ごとなど、指定した頻度でルールの評価を実行します。

  3. 24 時間ごとにルールが開始され、 AWS Config は、IAMユーザーのパスワードがルールに準拠しているかどうかを評価します。

設定変更トリガーと定期的なトリガーの両方によるハイブリッドルールの例

  1. 以下を評価するカスタムルールを作成します。 AWS CloudTrail アカウントの 証跡がオンになり、すべてのリージョンのログ記録が実行されます。

  2. 必要なのは AWS Config は、証跡が作成、更新、または削除されるたびにルールの評価を実行します。また、 AWS Config は、12 時間ごとにルールを実行します。

  3. トリガータイプには、設定変更と定期的なトリガーの両方のロジックを記述します。詳細については、「 のコンポーネント」を参照してください。 AWS Config ルール: ルールの記述

設定レコーダーがオフになっているときのルールの評価

設定レコーダーをオフにすると、 AWS Config は、リソース設定の変更の記録を停止します。これは以下のようにルールの評価ルールに影響します。

  • 定期的なトリガールールにより、指定された間隔で継続して評価が実行されます。

  • 変更によってトリガーされたルールでは評価を実行しません。

  • ハイブリッドルールでは、指定された間隔でのみ評価を実行します。設定変更のルールでは評価が実行されません。

  • 設定変更トリガーのルールのオンデマンド評価を実行すると、リソースの最後の知られている状態 (前回記録された設定項目) が評価されます。

重要

不必要を避ける AWS Config 評価

定期ルールとハイブリッドルールは、設定レコーダーをオフにした場合でも、削除しない限り実行を継続します。これらのルールは、設定レコーダーがオフになる前に記録された設定項目のみを評価します。つまり、これらのルールは、新しい情報なしで同じ評価結果を再現します。設定レコーダーをオフにする場合は、不必要なアクティビティやルール評価が行われないようにするため、定期ルールとハイブリッドルールを削除してください。