AWS Config ルールによるリソースの評価 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールによるリソースの評価

カスタムルールを作成したり、マネージドルールを使用したりすると、 はそれらのルールに照らしてリソース AWS Config を評価します。ルールを適用してリソースのオンデマンド評価を行うことができます。例えば、カスタムルールを作成し、 AWS Config がリソースを正しく評価していることを確認したり、 AWS Lambda 関数の評価ロジックに問題があるかどうかを特定したりする場合に役立ちます。

  1. IAM ユーザーがアクティブなアクセスキーを持っているかどうかを評価するカスタムルールを作成します。

  2. AWS Config は、カスタムルールに照らしてリソースを評価します。

  3. アクティブなアクセスキーがない IAM ユーザーがアカウント内に存在します。ルールでは、このリソースに NON_COMPLIANT のフラグが正しく付けられません。

  4. ルールを修正して評価をやり直します。

  5. ルールを修正したので、リソースが正常に評価され、IAM ユーザーリソースに NON_COMPLIANT のフラグが付けられます。

アカウントにルールを追加するときに、リソースの作成および管理プロセスでリソース AWS Config を評価するタイミングを指定できます。リソースの作成と管理のプロセスは、リソースプロビジョニングと呼ばれます。評価モードを選択して、このプロセスでリソース AWS Config を評価するタイミングを指定します。

ルールに応じて、 はリソースのデプロイ前、リソースのデプロイ後、またはその両方でリソース設定を評価 AWS Config できます。デプロイ前にリソースを評価するのは、プロアクティブ評価です。デプロイ後にリソースを評価するのは、検出評価です。

プロアクティブ評価は、デプロイ前にリソースを評価するために使用します。これにより、 リージョンのアカウントにあるプロアクティブルールのセットを考慮して、リソースを定義するために AWS リソースプロパティのセットが COMPLIANT か NON_COMPLIANT かを評価することができます。

リソースタイプスキーマは、リソースのプロパティを記述します。リソースタイプスキーマは、 AWS CloudFormation レジストリ内のAWS 「パブリック拡張」または次の CLI コマンドで確認できます。

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

詳細については、「 AWS CloudFormation ユーザーガイド」の AWS CloudFormation 「レジストリ、リソース、プロパティタイプのリファレンスによる拡張機能の管理」を参照してください。 AWS

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

リソースの評価

プロアクティブな評価を有効にするには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. AWS Management Console メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされている  AWS  リージョンのリストについては、Amazon Web Services 全般のリファレンス の「AWS Config  のリージョンとエンドポイント」を参照してください。

  3. 左のナビゲーションで、ルール を選択します。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

  4. ルールを選択し、更新するルールの [Edit rule] (ルールの編集) をクリックします。

  5. [Evaluation mode] (評価モード) で、[Turn on proactive evaluation] (プロアクティブな評価をオンにする) を選択し、デプロイ前のリソースの構成設定に対して評価を実行します。

  6. [保存] を選択します。

注記

また、 put-config-rule コマンドを使用してプロアクティブ評価を有効にし、 PROACTIVEに対して を有効にするEvaluationModesか、 PutConfigRuleアクションを使用して、 PROACTIVEに対して を有効にすることもできますEvaluationModes

プロアクティブ評価を有効にしたら、 StartResourceEvaluation API と GetResourceEvaluationSummary API を使用して、これらのコマンドで指定したリソースが、リージョンのアカウント内のプロアクティブルールによって NON_COMPLIANT としてフラグ付けされるかどうかを確認できます。

例えば、 StartResourceEvaluation API から始めます。

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

出力に ResourceEvaluationId が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

次に、 GetResourceEvaluationSummary API ResourceEvaluationIdで を使用して評価結果を確認します。

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

次のような出力が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

どのルールがリソースに NON_COMPLIANT のフラグを付けたかなど、評価結果に関する追加情報を表示するには、 GetComplianceDetailsByResource API を使用します。

検出評価は、デプロイ済みのリソースを評価するために使用します。これにより、既存のリソース構成の設定を評価できます。

リソースの評価 (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/config/ で AWS Config コンソールを開きます。

  2. AWS Management Console メニューで、リージョンセレクタが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、AWS Config の「Amazon Web Services 全般のリファレンスのリージョンとエンドポイント」を参照してください。

  3. ナビゲーションペインで ルール を選択します。[Rule] (ルール) ページには、各ルールの名前、関連する修復アクション、およびコンプライアンスステータスが表示されます。

  4. テーブルからルールを選択します。

  5. [Actions] (アクション) ドロップダウンリストから、[Re-evaluate] (再評価) を選択します。

  6. AWS Config は、ルールに対するリソースの評価を開始します。

注記

ルールは 1 分に 1 回再評価できます。別の評価を開始する前に、 AWS Config がルールの評価を完了するのを待つ必要があります。ルールの更新中または削除中に評価を実行することはできません。

リソースの評価 (CLI)

  • start-config-rules-evaluationコマンドを使用します。

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config は、記録されたリソース設定をルールに照らして評価し始めます。リクエストで複数のルールを指定することもできます。

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

リソースの評価 (API)

StartConfigRulesEvaluation アクションを使用します。