【アップデート】AWS Config Rulesにマネージドルールが追加されました!!!(ACMの有効期限確認など多数追加)

config

Config芸人の森永です。

お待ちかねのConfig Rulesマネージドルール追加です!!
今回も運用担当垂涎のルールが数多く追加されていますよ!

AWS Config Rules Supports New Managed Rules

追加されたルール一覧

  • ec2-instance-detailed-monitoring-enabled
    • EC2インスタンスの「詳細モニタリング」が有効化されているか
  • ec2-managedinstance-inventory-blacklisted
    • EC2 Systems Managerで管理されているインスタンスがブラックリスト化したインベントリタイプを収集するか
  • ec2-volume-inuse-check
    • EBSボリュームがEC2にアタッチされているかどうか
    • オプションとしてインスタンス削除時にEBSも削除される設定になっているか
  • acm-certificate-expiration-check
    • ACMの証明書有効期限が指定した日数以内であるか
    • ACMで作成した証明書は自動更新されるが、インポートした証明書は自動で更新されない
  • iam-user-group-membership-check
    • IAMユーザが少なくとも1つのIAMグループに所属しているかどうか
  • iam-user-no-policies-check
    • ポリシーアタッチされていないユーザがないか
  • s3-bucket-ssl-requests-only
    • S3バケットポリシーでSSLでのリクエストのみ受け付けているか

試してみる

個人的にACMの証明書有効期限チェックが熱いので試してみます。

別記事で取り上げたCloudFormationテンプレートでサクッとルールを作成しましょう!
以下のボタンで「acm-certificate-expiration-check」を東京リージョンに作れます。

ルールを作成

「Parameters」では、有効期限切れ何日前からnoncompliantとするかを設定できます。
初期値は2週間前となっていますのでそのまま残します。

Create_A_New_Stack

あとは特に設定することはないのでガンガン進めるとルールを作成できます。
私の環境の結果はCompliantでした。
(ACMで作成した証明書は自動更新されるのでCompliantになるはずです。)

AWS_Config_Console 2

最後に

マネージドルールが新たに追加され、さらに使いみちが増えたConfig Rules!
是非AWSアカウントの状態が適切に設定されているか人力ではなくConfig Rulesに任せましょう!!!