【アップデート】AWS Config マネージドルールに 75 ルールが追加されました!
2026.03.19
こんにちは、フニです。
AWS Config で75個の新しいマネージドルールがリリースされました!
追加されたルール
以下に追加された75個のルールをまとめました!
セキュリティ・暗号化関連
| No. | サービス | ルール名 | 説明 |
|---|---|---|---|
| 1 | AWS Certificate Manager | ACM_CERTIFICATE_TRANSPARENT_LOGGING_ENABLED | ACM証明書でCertificate Transparencyログが有効になっているかを確認します。 |
| 2 | Amazon API Gateway | APIGATEWAY_DOMAIN_NAME_TLS_CHECK | Amazon API Gatewayカスタムドメイン名のTLS設定が適切かを確認します。 |
| 3 | Amazon API Gateway | APIGATEWAYV2_INTEGRATION_PRIVATE_HTTPS_ENABLED | Amazon API Gateway V2のプライベート統合でHTTPSが有効になっているかを確認します。 |
| 4 | Amazon AppIntegrations | APPINTEGRATIONS_APPLICATION_APPROVED_ORIGINS_CHECK | Amazon AppIntegrationsアプリケーションで承認済みオリジンが設定されているかを確認します。 |
| 5 | AWS App Mesh | APPMESH_VIRTUAL_NODE_SERVICE_BACKENDS_TLS_ENFORCED | AWS App Mesh Virtual Nodeのサービスバックエンドで TLS が強制されているかを確認します。 |
| 6 | Amazon EC2 | EC2_LAUNCHTEMPLATE_EBS_ENCRYPTED | EC2起動テンプレートのEBSボリュームが暗号化されているかを確認します。 |
| 7 | Elastic Load Balancing | ELBV2_TARGETGROUP_HEALTHCHECK_PROTOCOL_ENCRYPTED | ELB V2ターゲットグループのヘルスチェックプロトコルが暗号化されているかを確認します。 |
| 8 | Elastic Load Balancing | ELBV2_TARGETGROUP_PROTOCOL_ENCRYPTED | ELB V2ターゲットグループのプロトコルが暗号化されているかを確認します。 |
| 9 | AWS IAM | IAM_OIDC_PROVIDER_CLIENT_ID_LIST_CHECK | IAM OIDCプロバイダーのクライアントIDリストが適切に設定されているかを確認します。 |
| 10 | EC2 Image Builder | IMAGEBUILDER_IMAGERECIPE_EBS_VOLUMES_ENCRYPTED | EC2 Image BuilderイメージレシピのEBSボリュームが暗号化されているかを確認します。 |
| 11 | Amazon Neptune | NEPTUNE_CLUSTER_SNAPSHOT_IAM_DATABASE_AUTH_ENABLED | Amazon NeptuneクラスタースナップショットでIAMデータベース認証が有効になっているかを確認します。 |
| 12 | Amazon SageMaker | SAGEMAKER_DATA_QUALITY_JOB_ENCRYPT_IN_TRANSIT | Amazon SageMaker Data Qualityジョブで転送時暗号化が有効になっているかを確認します。 |
| 13 | Amazon SageMaker | SAGEMAKER_DATA_QUALITY_JOB_ISOLATION | Amazon SageMaker Data Qualityジョブでネットワーク分離が有効になっているかを確認します。 |
| 14 | Amazon SageMaker | SAGEMAKER_MODEL_BIAS_JOB_ENCRYPT_IN_TRANSIT | Amazon SageMaker Model Biasジョブで転送時暗号化が有効になっているかを確認します。 |
| 15 | Amazon SageMaker | SAGEMAKER_MODEL_BIAS_JOB_ISOLATION | Amazon SageMaker Model Biasジョブでネットワーク分離が有効になっているかを確認します。 |
| 16 | Amazon SageMaker | SAGEMAKER_MODEL_EXPLAINABILITY_JOB_ENCRYPT_IN_TRANSIT | Amazon SageMaker Model Explainabilityジョブで転送時暗号化が有効になっているかを確認します。 |
| 17 | Amazon SageMaker | SAGEMAKER_MODEL_QUALITY_JOB_ENCRYPT_TRANSIT | Amazon SageMaker Model Qualityジョブで転送時暗号化が有効になっているかを確認します。 |
| 18 | Amazon SageMaker | SAGEMAKER_MONITORING_SCHEDULE_ISOLATION | Amazon SageMakerモニタリングスケジュールでネットワーク分離が有効になっているかを確認します。 |
| 19 | AWS Transfer Family | TRANSFER_CONNECTOR_AS2_ENCRYPTION_ALGORITHM_CHECK | AWS Transfer Family AS2コネクターの暗号化アルゴリズムが適切かを確認します。 |
| 20 | AWS Transfer Family | TRANSFER_CONNECTOR_AS2_MDN_SIGNING_ALGORITHM_CHECK | AWS Transfer Family AS2コネクターのMDN署名アルゴリズムが適切かを確認します。 |
| 21 | AWS Transfer Family | TRANSFER_CONNECTOR_AS2_SIGNING_ALGORITHM_CHECK | AWS Transfer Family AS2コネクターの署名アルゴリズムが適切かを確認します。 |
運用・可用性関連
| No. | サービス | ルール名 | 説明 |
|---|---|---|---|
| 22 | AWS Amplify | AMPLIFY_APP_BUILD_SPEC_CONFIGURED | AWS Amplifyアプリでビルドスペックが設定されているかを確認します。 |
| 23 | AWS Amplify | AMPLIFY_APP_PLATFORM_CHECK | AWS Amplifyアプリのプラットフォーム設定が適切かを確認します。 |
| 24 | AWS Amplify | AMPLIFY_BRANCH_AUTO_BUILD_ENABLED | AWS Amplifyブランチで自動ビルドが有効になっているかを確認します。 |
| 25 | AWS Amplify | AMPLIFY_BRANCH_BUILD_SPEC_CONFIGURED | AWS Amplifyブランチでビルドスペックが設定されているかを確認します。 |
| 26 | AWS Amplify | AMPLIFY_BRANCH_FRAMEWORK_CONFIGURED | AWS Amplifyブランチでフレームワークが設定されているかを確認します。 |
| 27 | AWS Amplify | AMPLIFY_BRANCH_PULL_REQUEST_PREVIEW_ENABLED | AWS AmplifyブランチでPull Requestプレビューが有効になっているかを確認します。 |
| 28 | AWS App Mesh | APPMESH_MESH_IP_PREF_CHECK | AWS App MeshのIPプリファレンス設定が適切かを確認します。 |
| 29 | AWS App Mesh | APPMESH_VIRTUAL_GATEWAY_LISTENERS_HEALTH_CHECK_ENABLED | AWS App Mesh Virtual Gatewayリスナーでヘルスチェックが有効になっているかを確認します。 |
| 30 | AWS App Mesh | APPMESH_VIRTUAL_NODE_LISTENERS_HEALTH_CHECK_ENABLED | AWS App Mesh Virtual Nodeリスナーでヘルスチェックが有効になっているかを確認します。 |
| 31 | AWS App Mesh | APPMESH_VIRTUAL_NODE_LISTENERS_OUTLIER_DETECT_ENABLED | AWS App Mesh Virtual Nodeリスナーで外れ値検出が有効になっているかを確認します。 |
| 32 | AWS CloudTrail | CLOUDTRAIL_EVENT_DATA_STORE_MULTI_REGION | AWS CloudTrailイベントデータストアがマルチリージョンで設定されているかを確認します。 |
| 33 | Amazon CloudWatch | CLOUDWATCH_ALARM_DESCRIPTION | Amazon CloudWatchアラームに説明が設定されているかを確認します。 |
| 34 | Amazon ECS | ECS_SERVICE_PROPAGATE_TAGS_ENABLED | Amazon ECSサービスでタグ伝搬が有効になっているかを確認します。 |
| 35 | AWS IAM | IAM_POLICY_DESCRIPTION | IAMポリシーに説明が設定されているかを確認します。 |
| 36 | AWS Lambda | LAMBDA_FUNCTION_APPLICATION_LOG_LEVEL_CHECK | AWS Lambda関数のアプリケーションログレベルが適切に設定されているかを確認します。 |
| 37 | AWS Lambda | LAMBDA_FUNCTION_LOG_FORMAT_JSON | AWS Lambda関数のログフォーマットがJSON形式かを確認します。 |
| 38 | AWS Lambda | LAMBDA_FUNCTION_SYSTEM_LOG_LEVEL_CHECK | AWS Lambda関数のシステムログレベルが適切に設定されているかを確認します。 |
| 39 | Amazon Lightsail | LIGHTSAIL_BUCKET_OBJECT_VERSIONING_ENABLED | Amazon Lightsailバケットでオブジェクトバージョニングが有効になっているかを確認します。 |
| 40 | Amazon OpenSearch Service | OPENSEARCHSERVERLESS_COLLECTION_DESCRIPTION | Amazon OpenSearch Serverlessコレクションに説明が設定されているかを確認します。 |
| 41 | Amazon OpenSearch Service | OPENSEARCHSERVERLESS_COLLECTION_STANDBYREPLICAS_ENABLED | Amazon OpenSearch Serverlessコレクションでスタンバイレプリカが有効になっているかを確認します。 |
| 42 | Amazon RDS | RDS_CLUSTER_BACKUP_RETENTION_CHECK | Amazon RDSクラスターのバックアップ保持期間が適切に設定されているかを確認します。 |
| 43 | Amazon RDS | RDS_GLOBAL_CLUSTER_AURORA_MYSQL_SUPPORTED_VERSION | Amazon RDSグローバルクラスターのAurora MySQLバージョンがサポート対象かを確認します。 |
| 44 | Amazon S3 | S3_DIRECTORY_BUCKET_LIFECYCLE_POLICY_RULE_CHECK | Amazon S3 Directory Bucketでライフサイクルポリシールールが設定されているかを確認します。 |
| 45 | Amazon SageMaker | SAGEMAKER_FEATUREGROUP_DESCRIPTION | Amazon SageMaker Feature Groupに説明が設定されているかを確認します。 |
タグ付け関連
| No. | サービス | ルール名 | 説明 |
|---|---|---|---|
| 46 | Amazon AppIntegrations | APPINTEGRATIONS_APPLICATION_TAGGED | Amazon AppIntegrationsアプリケーションにタグが付与されているかを確認します。 |
| 47 | AWS CodeArtifact | CODEARTIFACT_REPOSITORY_TAGGED | AWS CodeArtifactリポジトリにタグが付与されているかを確認します。 |
| 48 | AWS CodeBuild | CODEBUILD_PROJECT_TAGGED | AWS CodeBuildプロジェクトにタグが付与されているかを確認します。 |
| 49 | Amazon EC2 | EC2_IPAMSCOPE_TAGGED | Amazon EC2 IPAMスコープにタグが付与されているかを確認します。 |
| 50 | Amazon EventBridge Schemas | EVENTSCHEMAS_DISCOVERER_TAGGED | Amazon EventBridge Schemas Discovererにタグが付与されているかを確認します。 |
| 51 | Amazon EventBridge Schemas | EVENTSCHEMAS_REGISTRY_TAGGED | Amazon EventBridge Schemas Registryにタグが付与されているかを確認します。 |
| 52 | AWS Ground Station | GROUNDSTATION_CONFIG_TAGGED | AWS Ground Station Configにタグが付与されているかを確認します。 |
| 53 | AWS Ground Station | GROUNDSTATION_DATAFLOWENDPOINTGROUP_TAGGED | AWS Ground Station DataFlow Endpoint Groupにタグが付与されているかを確認します。 |
| 54 | AWS Ground Station | GROUNDSTATION_MISSIONPROFILE_TAGGED | AWS Ground Station Mission Profileにタグが付与されているかを確認します。 |
| 55 | Amazon HealthLake | HEALTHLAKE_FHIRDATASTORE_TAGGED | Amazon HealthLake FHIR Datastoreにタグが付与されているかを確認します。 |
| 56 | EC2 Image Builder | IMAGEBUILDER_DISTRIBUTIONCONFIGURATION_TAGGED | EC2 Image Builder Distribution Configurationにタグが付与されているかを確認します。 |
| 57 | EC2 Image Builder | IMAGEBUILDER_IMAGEPIPELINE_TAGGED | EC2 Image Builder Image Pipelineにタグが付与されているかを確認します。 |
| 58 | EC2 Image Builder | IMAGEBUILDER_IMAGERECIPE_TAGGED | EC2 Image Builder Image Recipeにタグが付与されているかを確認します。 |
| 59 | EC2 Image Builder | IMAGEBUILDER_INFRASTRUCTURECONFIGURATION_TAGGED | EC2 Image Builder Infrastructure Configurationにタグが付与されているかを確認します。 |
| 60 | Amazon Kinesis | KINESISVIDEO_SIGNALINGCHANNEL_TAGGED | Amazon Kinesis Video Signaling Channelにタグが付与されているかを確認します。 |
| 61 | Amazon Kinesis | KINESISVIDEO_STREAM_TAGGED | Amazon Kinesis Video Streamにタグが付与されているかを確認します。 |
| 62 | AWS Elemental MediaPackage | MEDIAPACKAGE_PACKAGINGCONFIGURATION_TAGGED | AWS Elemental MediaPackage Packaging Configurationにタグが付与されているかを確認します。 |
| 63 | AWS Elemental MediaTailor | MEDIATAILOR_PLAYBACKCONFIGURATION_TAGGED | AWS Elemental MediaTailor Playback Configurationにタグが付与されているかを確認します。 |
| 64 | Amazon MemoryDB | MEMORYDB_SUBNETGROUP_TAGGED | Amazon MemoryDB Subnet Groupにタグが付与されているかを確認します。 |
| 65 | AWS Panorama | PANORAMA_PACKAGE_TAGGED | AWS Panorama Packageにタグが付与されているかを確認します。 |
| 66 | AWS Resilience Hub | RESILIENCEHUB_APP_TAGGED | AWS Resilience Hubアプリケーションにタグが付与されているかを確認します。 |
| 67 | AWS Resilience Hub | RESILIENCEHUB_RESILIENCYPOLICY_TAGGED | AWS Resilience Hub Resiliency Policyにタグが付与されているかを確認します。 |
| 68 | Amazon Route 53 | ROUTE53_RECOVERY_CONTROL_CLUSTER_TAGGED | Amazon Route 53 Recovery Controlクラスターにタグが付与されているかを確認します。 |
| 69 | Amazon Route 53 | ROUTE53_RECOVERY_READINESS_CELL_TAGGED | Amazon Route 53 Recovery Readinessセルにタグが付与されているかを確認します。 |
| 70 | Amazon Route 53 | ROUTE53_RECOVERY_READINESS_READINESS_CHECK_TAGGED | Amazon Route 53 Recovery Readinessチェックにタグが付与されているかを確認します。 |
| 71 | Amazon Route 53 | ROUTE53_RECOVERY_READINESS_RECOVERY_GROUP_TAGGED | Amazon Route 53 Recovery Readinessリカバリグループにタグが付与されているかを確認します。 |
| 72 | Amazon Route 53 | ROUTE53_RECOVERY_READINESS_RESOURCE_SET_TAGGED | Amazon Route 53 Recovery Readinessリソースセットにタグが付与されているかを確認します。 |
| 73 | Amazon Route 53 | ROUTE53_RESOLVER_RESOLVER_ENDPOINT_TAGGED | Amazon Route 53 Resolverエンドポイントにタグが付与されているかを確認します。 |
| 74 | Amazon SageMaker | SAGEMAKER_INFERENCEEXPERIMENT_TAGGED | Amazon SageMaker Inference Experimentにタグが付与されているかを確認します。 |
| 75 | AWS Signer | SIGNER_SIGNINGPROFILE_TAGGED | AWS Signer Signing Profileにタグが付与されているかを確認します。 |
注目のルール
1. EC2_LAUNCHTEMPLATE_EBS_ENCRYPTED
EC2起動テンプレートのEBSボリュームが暗号化されているかを確認します。
EC2インスタンスのEBSボリュームが暗号化されていない場合、ディスク上のデータが保護されず、情報漏洩のリスクが高まります。特に本番環境やデータベースのストレージとして使用されるEBSボリュームでは、暗号化が必須のセキュリティ要件となるケースが多いです。起動テンプレートレベルでチェックすることで、新規インスタンス作成時の暗号化漏れを未然に防ぐことができます。このルールでのチェックを検討することをお勧めします。
2. IAM_OIDC_PROVIDER_CLIENT_ID_LIST_CHECK
IAM OIDCプロバイダーのクライアントIDリストが適切に設定されているかを確認します。
IAM OIDCプロバイダーは、外部のIDプロバイダー(GitHub Actions、GitLab CIなど)からのフェデレーションアクセスを制御する重要なコンポーネントです。クライアントIDリストが適切に制限されていない場合、意図しないアプリケーションからのアクセスを許可してしまう可能性があります。CI/CDパイプラインからAWSリソースへアクセスする構成を利用している場合は、このルールでのチェックを検討することをお勧めします。
やってみた
- AWS Config のルールから「ルールを追加」を押下します。
- AWS マネージドルールから、必要なルールを選択します。
- ルールの設定はデフォルトのまま進めます。必要に応じて変更してください。
- 確認後「保存」を押下します。
- すぐに確認するため「再評価」を押下します。
- 画像のように、非準拠リソースがある場合検出されます。
注意点
実際に使う際には、以下の注意点に気をつけましょう。
- ルールの評価頻度や大量のリソースを評価する場合、コスト増になる可能性があります。
- 既存の環境に適用する際は、既存リソースの非準拠が多数検出される可能性があります。
さいごに
今回は AWS Config で追加された75個の新しいマネージドルールについてご紹介しました。
セキュリティから運用、タグ付けまで幅広くカバーされた実用的なアップデートで嬉しいですね!
参考
