翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Config ルールのコンポーネント
<a name="evaluate-config_components"></a>

AWS Config ルールは、 AWS リソースの設定を評価します。このページでは、ルールのコンポーネントについて説明します。

**Topics**
+ [AWS Config ルールの仕組み](#evaluate-config-how-rules-work)
+ [トリガータイプ](#evaluate-config_use-managed-rules-trigger)
+ [評価モード](#evaluate-config_use-managed-rules-proactive-detective)
+ [ルールのメタデータ](#evaluate-config_components_metadata)

## AWS Config ルールの仕組み
<a name="evaluate-config-how-rules-work"></a>

 AWS Config はリソース間で発生する設定変更を継続的に追跡し、これらの変更がルールの条件に不適合になっていないかどうかを確認します。リソースがルールに準拠していない場合、 はリソースとルールを*非準拠*として AWS Config フラグ付けします。

 AWS Config ルールには 4 つの評価結果があります。


| **評価結果** | **説明** | 
| --- | --- | 
| COMPLIANT | ルールはコンプライアンスチェックの条件を満たしています。 | 
| NON\$1COMPLIANT | ルールがコンプライアンスチェックの条件を満たしていません。 | 
| ERROR | 必須/オプションのパラメータのいずれかが有効でないか、タイプが正しくないか、形式が正しくありません。 | 
| NOT\$1APPLICABLE | ルールのロジックを適用できないリソースを除外するために使用されます。例えば、[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html) ルールは Application Load Balancer のみをチェックし、Network Load Balancer と Gateway Load Balancer は無視します。 | 

例えば、EC2 ボリュームを作成すると、 はボリュームを暗号化する必要があるルールに対してボリュームを評価 AWS Config できます。ボリュームが暗号化されていない場合、 はボリュームとルールを非準拠として AWS Config フラグ付けします。 AWS Config は、アカウント全体の要件についてすべてのリソースを確認することもできます。たとえば、 AWS Config は、アカウント内の EC2 ボリュームの数が希望する合計数内に収まっているかどうか、またはアカウントがログ AWS CloudTrail 記録に を使用しているかどうかを確認できます。

## トリガータイプ
<a name="evaluate-config_use-managed-rules-trigger"></a>

アカウントにルールを追加すると、 はリソースをルールの条件 AWS Config と比較します。この最初の評価の後、 は引き続き、評価がトリガーされるたびに評価 AWS Config を実行します。評価のトリガーは、ルールの一部として定義されます。以下のタイプを含めることができます。


| トリガータイプ | **説明** | 
| --- | --- | 
| 設定変更 | AWS Config は、ルールのスコープに一致するリソースがあり、リソースの設定が変更された場合に、ルールの評価を実行します。評価は、 が設定項目の変更通知 AWS Config を送信した後に実行されます。どのリソースで評価を開始するかは、ルールの*スコープ*で定義します。スコープには以下を含めることができます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_components.html) AWS Config は、ルールのスコープに一致するリソースへの変更を検出すると、評価を実行します。スコープを使用して評価を開始するリソースを定義できます。 | 
| 定期的 | AWS Config は、24 時間ごとなど、選択した頻度でルールの評価を実行します。 | 
| ハイブリッド | 一部のルールでは、設定変更と定期的なトリガーの両方があります。これらのルールでは、 は、設定の変更を検出したときと、指定した頻度でリソース AWS Config を評価します。 | 

## 評価モード
<a name="evaluate-config_use-managed-rules-proactive-detective"></a>

 AWS Config ルールには 2 つの評価モードがあります。


| **評価モード** | **説明** | 
| --- | --- | 
| プロアクティブ | プロアクティブ評価は、デプロイ前のリソースを評価するために使用します。これにより、リソースを定義するためにリソースプロパティのセットを使用する場合 AWS 、リージョンのアカウントにあるプロアクティブルールのセットが COMPLIANT であるか NON\$1COMPLIANT であるかを評価できます。  | 
| 検出 | 検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソースの設定内容を評価できます。 | 

**注記**  
プロアクティブルールは、NON\$1COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

詳細については、[AWS Config 「ルールのプロアクティブ評価を有効にする](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_turn-on-proactive-rules.html)」を参照してください。

### プロアクティブ評価によるマネージドルールのリスト
<a name="list-proactive-rules"></a>

プロアクティブ評価をサポートするマネージドルールのリストについては、[「評価モード別の AWS Config マネージドルールのリスト](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)」を参照してください。

### プロアクティブ評価がサポートされているリソースタイプのリスト
<a name="list-proactive-resource-types"></a>

プロアクティブ評価がサポートされているリソースタイプのリストを以下に示します。
+ `AWS::EC2::EIP`
+ `AWS::EC2::Subnet`

## AWS Config ルールメタデータ
<a name="evaluate-config_components_metadata"></a>

AWS Config ルールには、次の変更可能なメタデータを含めることができます。

**defaultName**  
defaultName は、ルールのインスタンスがデフォルトで取得する名前です。

**説明**  
ルールの説明は、ルールが評価する内容のコンテキストを提供します。 AWS Config コンソールには 256 文字の制限があります。ベストプラクティスとして、ルールの説明に「するかどうかを確認」で始まる、NON\$1COMPLIANT シナリオの説明を含めます。サービス名は、ルールの説明で最初に言及されたときに、 AWS または Amazon で始まる完全な形で記述する必要があります。例えば、CloudTrail AWS CloudTrail や Amazon CloudWatch の代わりに Amazon CloudWatch を初めて使用します。それ以降に言及するときは、サービス名を省略できます。

**scope**  
スコープは、ルールがターゲットとするリソースタイプを決定します。サポートされるリソースタイプのリストについては、[サポートされているリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#supported-resources.html)を参照してください。

**compulsoryInputParameterDetails**  
compulsoryInputParameterDetails は、ルールが評価を行うために必要なパラメータに使用されます。例えば、`access-keys-rotated` マネージドルールには、必須パラメータとして `maxAccessKeyAge` が含まれます。パラメータが必須の場合、(オプション) としてマークされません。パラメータごとに、型を指定する必要があります。型は、「String」、「int」、「double」、「CSV」、「boolean」、「StringMap」のいずれかになります。

**optionalInputParameterDetails**  
OptionalInputParameterDetails は、ルールが評価を行うためのオプションのパラメータに使用されます。例えば、`elasticsearch-logs-to-cloudwatch` マネージドルールには、オプションのパラメータとして `logTypes` が含まれます。パラメータごとに、型を指定する必要があります。型は、「String」、「int」、「double」、「CSV」、「boolean」、「StringMap」のいずれかになります。

**supportedEvaluationModes**  
supportedEvaluationModes は、リソースをデプロイ前またはデプロイ後のいずれで評価するかを決定します。  
 `DETECTIVE` は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成設定を評価できます。`PROACTIVE` は、リソースをデプロイ前に評価するために使用します。  
これにより、リソースを定義するためにリソースプロパティのセットを使用する場合 AWS 、リージョンのアカウントにあるプロアクティブルールのセットが COMPLIANT であるか NON\$1COMPLIANT であるかを評価できます。  
supportedEvaluationModes は `DETECTIVE`、`PROACTIVE`、または `DETECTIVE` と `PROACTIVE` の両方に指定できます。評価モードは指定する必要があり、このフィールドを空のままにすることはできません。  
プロアクティブルールは、NON\$1COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。