AWS Config ルールのプロアクティブな評価を有効にする - AWS Config
コンソールを使用するAWS SDK の使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config ルールのプロアクティブな評価を有効にする

AWS Config コンソールまたは AWS SDK を使用して、プロアクティブ評価ルールを有効にできます。プロアクティブ評価をサポートするリソースタイプとマネージドルールの一覧については、「ルールのコンポーネント | 評価モード」を参照してください。

プロアクティブ評価を有効にする (コンソール)

[ルール] ページの表に、ルールとその現在のコンプライアンス結果が表示されます。各ルールの結果は、AWS Config でそのルールを適用したリソースの評価が完了するまでは、 Evaluating...になります。結果は、更新ボタンにより更新できます。

AWS Config で評価が完了すると、ルールとリソースタイプの準拠または非準拠がわかります。詳細については、「を使用したAWSリソースのコンプライアンス情報と評価結果の表示AWS Config」を参照してください。

注記

AWS Config は、記録対象のリソースタイプのみを評価します。例えば、cloudtrail-enabled ルールを追加しても、CloudTrail 証跡リソースタイプを記録しなければ、AWS Config はアカウントの証跡が準拠しているかどうかを評価できません。詳細については、「AWS Config での AWS リソースの記録」を参照してください。

プロアクティブ評価を使用して、デプロイ前のリソースを評価できます。これにより、AWS リソースを定義するために使用した一連のリソースプロパティが、リージョンのアカウントにあるプロアクティブなルールセットに照らして、COMPLIANT または NON_COMPLIANT であるかを評価できます。

リソースタイプスキーマは、リソースのプロパティを記述します。リソースタイプスキーマは、AWS CloudFormation レジストリ内の「AWS public extensions」または次の CLI コマンドで確認できます。

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

詳細については、AWS CloudFormation ユーザーガイドの「CloudFormation レジストリを使用した拡張機能の管理」と「AWS リソースおよびプロパティタイプのリファレンス」を参照してください。

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

プロアクティブ評価を有効にするには

  1. AWS マネジメントコンソール にサインインして、AWS Config コンソール (https://console.aws.amazon.com/config/home) を開きます。

  2. AWS マネジメントコンソール メニューで、リージョンセレクターが AWS Config ルールをサポートするリージョンに設定されていることを確認します。サポートされている AWS リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Config リージョンとエンドポイント」を参照してください。

  3. 左のナビゲーションで、ルール を選択します。プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

  4. ルールを選択し、更新するルールの [Edit rule] (ルールの編集) をクリックします。

  5. [Evaluation mode] (評価モード) で、[Turn on proactive evaluation] (プロアクティブな評価をオンにする) を選択し、デプロイ前のリソースの構成設定に対して評価を実行します。

  6. [保存] を選択します。

プロアクティブ評価をオンにした後、StartResourceEvaluation API と GetResourceEvaluationSummary API を使用して、これらのコマンドで指定したリソースが、リソースのアカウントのプロアクティブルールに基づいて NON_COMPLIANT としてフラグが設定されるかどうかを確認できます。

例えば、StartResourceEvaluation API を開始します。

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

出力に ResourceEvaluationId が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

次に、ResourceEvaluationId を GetResourceEvaluationSummary API で使用して評価結果を確認します。

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

次のような出力が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

どのルールがリソースに NON_COMPLIANT のフラグを付けたかなど、評価結果に関する詳細を確認するには、GetComplianceDetailsByResource API を使用します。

プロアクティブ評価を有効にする (AWS SDK)

プロアクティブ評価を使用して、デプロイ前のリソースを評価できます。これにより、AWS リソースを定義するために使用した一連のリソースプロパティが、リージョンのアカウントにあるプロアクティブなルールセットに照らして、COMPLIANT または NON_COMPLIANT であるかを評価できます。

リソースタイプスキーマは、リソースのプロパティを記述します。リソースタイプスキーマは、AWS CloudFormation レジストリ内の「AWS public extensions」または次の CLI コマンドで確認できます。

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

詳細については、AWS CloudFormation ユーザーガイドの「CloudFormation レジストリを使用した拡張機能の管理」と「AWS リソースおよびプロパティタイプのリファレンス」を参照してください。

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

プロアクティブ評価を有効にするには

put-config-rule コマンドを使用して、EvaluationModesPROACTIVE を有効にします。

プロアクティブ評価をオンにすると、start-resource-evaluation CLI コマンドと get-resource-evaluation-summary CLI コマンドを使用して、これらのコマンドで指定したリソースが、リージョンのアカウントのプロアクティブルールに照らして NON_COMPLIANT としてフラグが設定されるかどうかを確認できます。

例えば、start-resource-evaluation コマンドを開始します。

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

出力に ResourceEvaluationId が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

次に、ResourceEvaluationIdget-resource-evaluation-summary で使用して評価結果を確認します。

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

次のような出力が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

どのルールがリソースに NON_COMPLIANT のフラグを付けたかなど、評価結果に関する詳細を確認するには、get-compliance-details-by-resource CLI コマンドを使用します。

注記

プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。

プロアクティブ評価を使用して、デプロイ前のリソースを評価できます。これにより、AWS リソースを定義するために使用した一連のリソースプロパティが、リージョンのアカウントにあるプロアクティブなルールセットに照らして、COMPLIANT または NON_COMPLIANT であるかを評価できます。

リソースタイプスキーマは、リソースのプロパティを記述します。リソースタイプスキーマは、AWS CloudFormation レジストリ内の「AWS public extensions」または次の CLI コマンドで確認できます。

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

詳細については、AWS CloudFormation ユーザーガイドの「CloudFormation レジストリを使用した拡張機能の管理」と「AWS リソースおよびプロパティタイプのリファレンス」を参照してください。

注記

プロアクティブルールは、NON_COMPLIANT のフラグが付けられたリソースを修正したり、これらのリソースのデプロイを妨げたりしません。

ルールのプロアクティブ評価を有効にするには

PutConfigRule アクションを使用して、EvaluationModesPROACTIVE を有効にします。

プロアクティブ評価をオンにした後、StartResourceEvaluation API と GetResourceEvaluationSummary API を使用して、これらのコマンドで指定したリソースが、リソースのアカウントのプロアクティブルールに基づいて NON_COMPLIANT としてフラグが設定されるかどうかを確認できます。例えば、StartResourceEvaluation API を開始します。

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

出力に ResourceEvaluationId が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

次に、ResourceEvaluationId を GetResourceEvaluationSummary API で使用して評価結果を確認します。

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

次のような出力が表示されます。

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

どのルールがリソースに NON_COMPLIANT のフラグを付けたかなど、評価結果に関する詳細を確認するには、GetComplianceDetailsByResource API を使用します。

注記

プロアクティブ評価をサポートするマネージドルールのリストについては、「評価モード別の AWS Config マネージドルールのリスト」を参照してください。