この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
Config芸人の森永です。
Config Rulesに新たなマネージドルールが追加されました!嬉しい!
8 new Config Rules to govern the configuration of critical AWS resources
追加されたルール
何が追加されたかを知りたい方はこちらを以下ご覧頂ければ概要は分かります。
- IAM_PASSWORD_POLICY
- IAMパスワードポリシーが適切な設定になっているか
- RDS_STORAGE_ENCRYPTED
- RDSが暗号化されているか
- オプションで特定のKMSキーで暗号化されているかも確認可能
- RDS_MULTI_AZ_SUPPORT
- RDSがMulti-AZになっているかどうか
- DB_INSTANCE_BACKUP_ENABLED
- RDSのバックアップが有効になっているか
- バックアップウィンドウや保管期間が適切かもチェック可能
- EBS_OPTIMIZED_INSTANCE
- EBS最適化できるインスタンスタイプにおいて、EBS最適化が設定されているか
- DESIRED_INSTANCE_TYPE
- EC2のインスタンスタイプが指定したインスタンスタイプになっているか
- インスタンスタイプは複数選択可能
- APPROVED_AMIS_BY_ID
- EC2が適切なAMIを使用しているか
- APPROVED_AMIS_BY_TAG
- EC2が特定のタグが付いたAMIを使用しているか
各ルールの詳細
Config Rules好きな方はトリガータイプとかパラメータ気になりますよね。わかります。
自分用に表にまとめておきます。
| ルール名 | トリガータイプ | Parameter |
|---|---|---|
| IAM_PASSWORD_POLICY | 定期 |
|
| RDS_STORAGE_ENCRYPTED | 変更時 |
|
| RDS_MULTI_AZ_SUPPORT | 変更時 |
|
| DB_INSTANCE_BACKUP_ENABLED | 変更時 |
|
| EBS_OPTIMIZED_INSTANCE | 変更時 |
|
| DESIRED_INSTANCE_TYPE | 変更時 |
|
| APPROVED_AMIS_BY_ID | 変更時 |
|
| APPROVED_AMIS_BY_TAG | 変更時 |
|
試してみる
AWS Config Rulesの管理画面にいって「Add Rule」します。
おお!新しいルールが追加されて合計17個になってます!!もっと増えろ!!!
今回は「IAM_PASSWORD_POLICY」を試してみます。
ルールを選択すると、このような画面がでてきますが、マネージドルールの場合この部分はほぼ触らなくて良いです。
触るとしたら「Frequency(頻度)」くらいかと思います。
次にパラメータを設定します。
自社のセキュリティポリシーに適合するように設定を変更して下さい。
パラメータの意味は上記で説明したのでそちらをご参照下さい。
わくわく
はい。私のアカウントのパスワードポリシーはルールに違反していました。
IAMのパスワードポリシー管理画面よりルールに適したパスワードポリシーの設定に変更します。
こちらのルールは24時間毎にチェックなので、24時間待たないといけない、、、というわけではなく、Config Rulesには「Re-evaluate」という機能がありますのでこちらで再チェックを行います。
はい!おみごとルールに適したパスワードポリシーになったことが分かります。
最後に
どんどん有用なマネージドルールがでたらもっとAWS ConfigもConfig Rulesも有名になって使う人が増えると思うので嬉しい限りです!
大量にあるAWSリソースをいちいち手動でチェックするのはもうやめませんか!!!
2
