AWS Configルールの更新 - AWS Config
コンソールを使用するAWS SDKsの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Configルールの更新

AWS ConfigコンソールまたはAWS SDKsを使用してルールを更新できます。

ルールの更新 (コンソール)

[ルール] ページの表に、ルールとその現在のコンプライアンス結果が表示されます。各ルールの結果は、 がルールに対するリソースの評価を完了するまで、評価中... です。AWS Config結果は、更新ボタンにより更新できます。が評価AWS Configを完了すると、準拠または非準拠のルールとリソースタイプを確認できます。詳細については、「を使用したAWSリソースのコンプライアンス情報と評価結果の表示AWS Config」を参照してください。

ルールを更新するには

  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/config/home でAWS Configコンソールを開きます。

  2. AWS マネジメントコンソールメニューで、リージョンセレクタがAWS Configルールをサポートするリージョンに設定されていることを確認します。サポートされているリージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Configリージョンとエンドポイント」を参照してください。

  3. 左のナビゲーションで、[ルール] を選択します。

  4. 更新するルールを選択し、[Edit rule] (ルールの編集) をクリックします。

  5. 必要に応じて [Edit rule] (ルールの編集) ページの設定を変更し、ルールを変更します。

  6. [保存] を選択します。

ルールの更新 (AWS SDKs)

以前に追加したルールを更新している場合は、このリクエストで使用する ConfigRule データ型に ConfigRuleNameConfigRuleId、または ConfigRuleArn でルールを指定できます。ルールを追加するときと同じ PutConfigRule コマンドを使用します。

次のサンプルコードは、PutConfigRule を使用する方法を説明しています。

CLI
AWS CLI

AWSマネージド Config ルールを追加するには

次のコマンドは、AWSマネージド Config ルールを追加するための JSON コードを提供します。

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json は、ルール設定を含む JSON ファイルです。

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

ComplianceResourceTypes 属性の場合、この JSON コードはスコープを AWS::EC2::Instanceタイプのリソースに制限するため、Config AWSはルールに対して EC2 インスタンスのみを評価します。このルールはマネージドルールであるため、Owner 属性は AWS に設定され、SourceIdentifier 属性はルール識別子 REQUIRED_TAGS に設定されます。InputParameters 属性には、ルールに必要なタグキー、および CostCenterOwner が指定されます。

コマンドが成功すると、AWS Config は出力を返しません。ルール設定を確認するには、describe-config-rules コマンドを実行してルール名を指定します。

カスタマーマネージド Config ルールを追加するには

次のコマンドは、カスタマーマネージド Config ルールを追加するための JSON コードを提供します。

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json は、ルール設定を含む JSON ファイルです。

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

ComplianceResourceTypes 属性の場合、この JSON コードはスコープを AWS::EC2::Instanceタイプのリソースに制限するため、Config AWSはルールに対して EC2 インスタンスのみを評価します。このルールはカスタマーマネージドルールであるため、 Owner 属性は に設定されCUSTOM_LAMBDASourceIdentifier 属性はAWS Lambda 関数の ARN に設定されます。SourceDetails オブジェクトは必須です。InputParameters 属性に指定されたパラメータは、Config が呼び出してルールに対してリソースを評価するときにAWS Lambda AWS関数に渡されます。

コマンドが成功すると、AWS Config は出力を返しません。ルール設定を確認するには、describe-config-rules コマンドを実行してルール名を指定します。

  • API の詳細については、「AWS CLIコマンドリファレンス」の「PutConfigRule」を参照してください。

Python
SDK for Python (Boto3)
注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWSコード例リポジトリでの設定と実行の方法を確認してください。

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • API の詳細については、「AWS SDK for Python (Boto3) API リファレンス」の「PutConfigRule」を参照してください。