![[アップデート]AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました #reinvent](https://devio2023-media.developers.io/wp-content/uploads/2022/11/eyecatch_reinvent2022.png)
[アップデート]AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました #reinvent
こんにちは!AWS事業本部のおつまみです。
AWS re:Invent 2022が始まってますね!
AWS Configでアップデート情報があったので、お届けします!!
AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました
3行まとめ
- AWS Configのルール設定時に評価モードとして「Proactive」が追加された。
- このモードによりAWSリソースのプロビジョニング前に AWS Config ルールに準拠しているか事前に確認できるようになった。
- ユースケースとして、CloudFormationのカスタムフックやCI/CDパイプラインに組み込むことできる。
何が変わったの?
従来、AWS Configはプロビジョニング済のリソースを評価するために使用されていました。
しかし、今回のアップデートによりプロビジョニング前のリソースも評価対象として指定できるようになりました!
そこで今回のアップデートにより、AWS Configルールに評価モードと呼ばれる設定項目が追加になってます。
これにより、どの時点でAWS Configがリソースを評価するかを指定できます。
評価モードには、下記の2種類があります。
- Proactive
- リソースをプロビジョニングする前に、プロアクティブな評価を使用してリソースを評価。リソースを作成または更新する前に、リソースの構成設定を評価。
- Detective
- 発見的評価を使用して、すでにプロビジョニングされているリソースを評価。既存のリソースの構成設定を評価。
Detectiveが従来の評価方法となります。
またルール設定では、Proactiveのみ・Detectiveのみ・もしくはその両方を指定することができます。
※現時点(2022/11/29時点)では、次のマネージドルールのみがProactiveをサポートしています。
- api-gw-xray-enabled
- autoscaling-group-elb-healthcheck-required
- eip-attached
- elasticsearch-logs-to-cloudwatch
- elasticsearch-node-to-node-encryption-check
- lambda-function-settings-check
- lambda-inside-vpc
- rds-automatic-minor-version-upgrade-enabled
- rds-enhanced-monitoring-enabled
- rds-instance-public-access-check
- rds-multi-az-support
- rds-storage-encrypted
- redshift-cluster-maintenancesettings-check
- redshift-cluster-public-access-check
- s3-bucket-logging-enabled
- sns-encrypted-kms
- subnet-auto-assign-public-ip-disabled
評価モードに関する詳細はこちらのドキュメントをご参照下さい。
Evaluation Mode and Trigger Types for AWS Config Rules - AWS Config
ユースケースは?
想定されるユースケースは下記の通りです。
- CloudFormationのカスタムフックを使用し、リソースの設定がポリシーに準拠しているかどうかを確認する。
- AWS Config ルールをコードとしての CI/CD パイプラインに組み込み、プロビジョニング前に準拠していないリソースを特定する。
CloudFormationのカスタムフック?となった方は、こちらのブログをご確認下さい。
その他補足事項
- Proactive評価は、すべての商用AWS リージョンで利用可能。(ただしマネジメントコンソールへの反映は数日かかる。)
- 既にDetectiveモードのAWS Config ルールも使用している場合は、Proactiveモードでのルール評価は追加料金なしで利用可能。(AWS Configは記録されたルール評価の数に基づいて課金されるため。)
やってみた
今回はrds ストレージ暗号化のマネージドルールにProactiveモードを追加できるか確認します。
なお東京リージョンでは、現時点(2022/11/29)でコンソールに未反映されていなかったため、バージニア北部リージョンで検証します。
- AWS Config コンソールのナビゲーションペインで [ルール]を選択します。
- ルール テーブルに、新しい [Enabled evaluation mode] (有効な評価モード)列が表示されています。ちなみに東京リージョンでは、まだ列が増えていませんでした。
・バージニア北部リージョン
・東京リージョン
-
ルールを設定するために、[ルールを追加]を選択します。
-
AWS マネージド型ルールの検索ボックスに
rds-storageと入力し、rds-storage-encryptedeルールを選択します。 [次へ] を選択します。サポートする評価モードに[Proactive]が追加されていますね。
-
[評価モード]セクションで、Proactiveをオンにします。これにより、ProactiveとDetectiveの両方のモードが有効になります。
-
他のすべての設定はデフォルト値のままにして、[次へ] を選択します。
-
[確認と作成]画面で、ルールを確認し、[ルールを追加]を選択します。
-
これでConfigルールにProactiveモードを追加できるか確認できました。
最後に
今回はAWS Configのアップデート情報ご紹介しました。
この新機能によって、準拠していないリソースの修正に費やす時間を節約できるようにようなりますね!
本記事ではCI/CDに組み込むところまで検証できなかったので、次回トライしたいと思います!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
