[アップデート]AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました #reinvent

AWS Configでプロビジョニング前のリソースを評価できるようになりました!
2022.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

AWS re:Invent 2022が始まってますね!
AWS Configでアップデート情報があったので、お届けします!!

AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました

3行まとめ

  • AWS Configのルール設定時に評価モードとして「Proactive」が追加された。
  • このモードによりAWSリソースのプロビジョニング前に AWS Config ルールに準拠しているか事前に確認できるようになった。
  • ユースケースとして、CloudFormationのカスタムフックやCI/CDパイプラインに組み込むことできる。

何が変わったの?

従来、AWS Configはプロビジョニング済のリソースを評価するために使用されていました。
しかし、今回のアップデートによりプロビジョニング前のリソースも評価対象として指定できるようになりました!

そこで今回のアップデートにより、AWS Configルールに評価モードと呼ばれる設定項目が追加になってます。

これにより、どの時点でAWS Configがリソースを評価するかを指定できます。
評価モードには、下記の2種類があります。

  • Proactive
    • リソースをプロビジョニングする前に、プロアクティブな評価を使用してリソースを評価。リソースを作成または更新する前に、リソースの構成設定を評価。
  • Detective
    • 発見的評価を使用して、すでにプロビジョニングされているリソースを評価。既存のリソースの構成設定を評価。

Detectiveが従来の評価方法となります。
またルール設定では、Proactiveのみ・Detectiveのみ・もしくはその両方を指定することができます。

※現時点(2022/11/29時点)では、次のマネージドルールのみがProactiveをサポートしています。

評価モードに関する詳細はこちらのドキュメントをご参照下さい。
Evaluation Mode and Trigger Types for AWS Config Rules - AWS Config

ユースケースは?

想定されるユースケースは下記の通りです。

  • CloudFormationのカスタムフックを使用し、リソースの設定がポリシーに準拠しているかどうかを確認する。
  • AWS Config ルールをコードとしての CI/CD パイプラインに組み込み、プロビジョニング前に準拠していないリソースを特定する。

CloudFormationのカスタムフック?となった方は、こちらのブログをご確認下さい。

その他補足事項

  • Proactive評価は、すべての商用AWS リージョンで利用可能。(ただしマネジメントコンソールへの反映は数日かかる。)
  • 既にDetectiveモードのAWS Config ルールも使用している場合は、Proactiveモードでのルール評価は追加料金なしで利用可能。(AWS Configは記録されたルール評価の数に基づいて課金されるため。)

やってみた

今回はrds ストレージ暗号化のマネージドルールにProactiveモードを追加できるか確認します。
なお東京リージョンでは、現時点(2022/11/29)でコンソールに未反映されていなかったため、バージニア北部リージョンで検証します。

  1. AWS Config コンソールのナビゲーションペインで [ルール]を選択します。
  2. ルール テーブルに、新しい [Enabled evaluation mode] (有効な評価モード)列が表示されています。ちなみに東京リージョンでは、まだ列が増えていませんでした。

    ・バージニア北部リージョン

    ・東京リージョン

  3. ルールを設定するために、[ルールを追加]を選択します。

  4. AWS マネージド型ルールの検索ボックスにrds-storageと入力し、rds-storage-encryptedeルールを選択します。 [次へ] を選択します。サポートする評価モードに[Proactive]が追加されていますね。

  5. [評価モード]セクションで、Proactiveをオンにします。これにより、ProactiveとDetectiveの両方のモードが有効になります。

  6. 他のすべての設定はデフォルト値のままにして、[次へ] を選択します。

  7. [確認と作成]画面で、ルールを確認し、[ルールを追加]を選択します。

  8. これでConfigルールにProactiveモードを追加できるか確認できました。

最後に

今回はAWS Configのアップデート情報ご紹介しました。

この新機能によって、準拠していないリソースの修正に費やす時間を節約できるようにようなりますね!
本記事ではCI/CDに組み込むところまで検証できなかったので、次回トライしたいと思います!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!