翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config ルールによるリソースの評価
を使用して AWS Config 、 AWS リソースの設定を評価します。これを行うには、理想的な構成設定を表す AWS Config ルールを作成します。 は、 マネージドルールと呼ばれるカスタマイズ可能な事前定義されたルール AWS Config を提供し、使用開始を支援します。
AWS Config ルールの仕組み
AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに準拠していない場合、 はリソースとルールを非準拠の として AWS Config フラグ付けします。 AWS Config ルールで考えられる評価結果は、次のとおりです。
-
COMPLIANT- ルールはコンプライアンスチェックの条件を満たしています。 -
NON_COMPLIANT- ルールがコンプライアンスチェックの条件を満たしていません。 -
ERROR- 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 -
NOT_APPLICABLE- ルールのロジックを適用できないリソースを除外するために使用されます。例えば、alb-desync-mode-check ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。
例えば、EC2 ボリュームを作成すると、 はボリュームを暗号化する必要があるルールに対してボリュームを評価 AWS Config できます。ボリュームが暗号化されていない場合、 はボリュームとルールを非準拠として AWS Config フラグ付けします。 は、アカウント全体の要件についてすべてのリソースを確認 AWS Config することもできます。例えば、 AWS Config は、アカウント内の EC2 ボリュームの数が希望する合計数内にあるかどうか、またはアカウントがログ AWS CloudTrail 記録に を使用しているかどうかを確認できます。
サービスにリンクされたルール
サービスにリンクされたルールは、アカウントでルールを作成するために他の AWS のサービスをサポートする一意のタイプのマネージド AWS Config ルールです。これらのルールは、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可を含めるように事前定義されています。これらのルールは、 AWS サービスがコンプライアンス検証 AWS アカウント のために で推奨する標準に似ています。詳細については、「サービスにリンクされた AWS Config ルール」を参照してください。
カスタムルール
まだ記録 AWS Config されていない追加のリソースを評価するカスタムルールを作成することもできます。詳細については、「AWS Config カスタムルール」および「その他のリソースタイプの評価」を参照してください。
コンプライアンスの表示
AWS Config コンソールには、ルールとリソースのコンプライアンスステータスが表示されます。 AWS リソースが全体的な目的の設定にどのように準拠しているかを確認し、どの特定のリソースが非準拠であるかを確認できます。 AWS CLI、 AWS Config API、および AWS SDKs を使用して、コンプライアンス情報を AWS Config サービスにリクエストすることもできます。
AWS Config を使用してリソース設定を評価することで、リソース設定が社内プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価できます。
制約事項
各アカウントの各リージョンの AWS Config ルールの最大数とその他のサービスの制限については、AWS Config 「サービスの制限」を参照してください。
コストについて
リソース記録に関連するコストの詳細については、AWS Config 「 の料金
推奨事項: ルールを削除する前にリソースコンプライアンスの記録を停止する
アカウントのルールを削除する前に、AWS::Config::ResourceComplianceリソースタイプの記録を停止することを強くお勧めします。ルールを削除するAWS::Config::ResourceComplianceと、 の設定項目 (CIsが作成され、 AWS Config 設定レコーダーのコストに影響する可能性があります。多数のリソースタイプを評価するルールを削除すると、記録された CIs の数が増加する可能性があります。
ベストプラクティス:
録画を停止する
AWS::Config::ResourceComplianceルールを削除する (複数可)
の録画を有効にする
AWS::Config::ResourceCompliance
推奨事項: カスタム Lambda ルールの削除されたリソースの評価を処理するロジックを追加する
AWS Config カスタム Lambda ルールを作成するときは、削除されたリソースの評価を処理するロジックを追加することを強くお勧めします。
評価結果が NOT_APPLICABLE としてマークされている場合、削除およびクリーンアップの対象としてマークされます。としてマークされていない場合NOT_APPLICABLE、ルールが削除されるまで評価結果は変更されず、ルールの削除AWS::Config::ResourceCompliance時に の CIs の作成が予期せず急増する可能性があります。
削除されたリソースを返すように AWS Config カスタム Lambda ルールを設定する方法については、AWS Config 「カスタム Lambda ルールによる削除されたリソースの管理NOT_APPLICABLE」を参照してください。
推奨事項: カスタム Lambda ルールの対象となるリソースを提供する
AWS Config ルールが 1 つ以上のリソースタイプにスコープされていない場合、カスタム Lambda ルールは多数の Lambda 関数呼び出しを引き起こす可能性があります。アカウントに関連するアクティビティの増加を避けるため、カスタム Lambda ルールの範囲内にリソースを提供することを強くお勧めします。リソースタイプが選択されていない場合、そのルールによってアカウント内のすべてのリソースの Lambda 関数を呼び出します。
リージョンのサポート
現在、 AWS Config ルール機能は以下の AWS リージョンでサポートされています。どのリージョンで個々の AWS Config ルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 米国東部 (バージニア北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 米国西部 (オレゴン) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Organization のメンバーアカウント間で AWS Config のルールのデプロイ AWS は、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
トラブルシューティング
AWS Config ルールを削除できない場合や、「 でエラーが発生した」というエラー同義語が表示されない場合は、次の問題を確認してトラブルシューティングしてください AWS Config。
AWS Identity and Access Management (IAM) エンティティに DeleteConfigRule API のアクセス許可がある
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 ナビゲーションペインで、ユーザー またはロール を選択します。
AWS Config ルールの削除に使用したユーザーまたはロールを選択し、アクセス許可ポリシー を展開します。
アクセス許可タブで、JSON を選択します。
JSON プレビューペインで、IAM ポリシーがDeleteConfigルール API のアクセス許可を許可していることを確認します。
IAM エンティティのアクセス許可の境界は DeleteConfigRule API を許可します
IAM エンティティに許可の境界がある場合は、 DeleteConfigRule API の許可が付与されていることを確認してください。
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 ナビゲーションペインで、ユーザー またはロール を選択します。
AWS Config ルールの削除に使用したユーザーまたはロールを選択し、アクセス許可の境界 を展開して、JSON を選択します。
JSON プレビューペインで、IAM ポリシーがDeleteConfigルール API のアクセス許可を許可していることを確認します。
警告
IAM ユーザーには長期的な認証情報があり、セキュリティ上のリスクがあります。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーを削除することをお勧めします。
サービスコントロールポリシー (SCP) は DeleteConfigRule API を許可します。
組織の管理アカウントを使用して、https://console.aws.amazon.com/organizations/ で AWS Organizations コンソールを開きます。
アカウント名で、 を選択します AWS アカウント。
ポリシー で、サービスコントロールポリシーを展開し、アタッチされている SCP ポリシーを書き留めます。
ページの上部で、ポリシー を選択します。
ポリシーを選択し、詳細を表示 を選択します。
JSON プレビューペインで、ポリシーがDeleteConfigルール API を許可していることを確認します。
ルールがサービスにリンクされたルールではない
セキュリティ標準 を有効にすると、 によってサービスにリンクされたルール AWS Security Hub が作成されます。を使用してこれらのサービスにリンクされたルールを削除することはできません。 AWS Config削除ボタンはグレー表示されます。サービスにリンクされたルールを削除するには、「Security Hub ユーザーガイド」の「セキュリティ標準の無効化」を参照してください。
進行中の修復アクションはありません
修復アクションが進行中の AWS Config ルールは削除できません。手順に従って、そのルール に関連付けられている修復アクションを削除します。次に、ルールの削除を再試行してください。
重要
失敗した状態または成功状態の修復アクションのみを削除します。
