Config ルールで特定のリソースタイプが評価されないときの対処方法
困っていた内容
Config ルールを実行しましたが、EC2 インスタンスなど一部のリソースタイプが評価されていません。
他のリソースタイプは評価されています。
評価されていない一部のリソースタイプも評価するためには、どうしたらいいでしょうか?
どう対応すればいいの?
Config の記録対象に、評価したいリソースタイプが含まれているのかを確認してください。
Config ルールでは、記録対象のリソースタイプのみを評価します。
そのため、記録対象に含まれていないリソースタイプは評価されません。
AWS Config ルールの管理 - AWS Config
AWS Config は、記録対象のリソースタイプのみを評価します。例えば、cloudtrail-enabled ルールを追加しても、CloudTrail 証跡リソースタイプを記録しなければ、AWS Config はアカウントの証跡が準拠しているかどうかを評価できません。
記録対象が"すべてのリソース"ではなく"特定のリソースタイプ"の場合、評価したいリソースタイプが記録対象に含まれていない可能性があります。
評価したいリソースタイプが記録対象に含まれていない場合は、該当するリソースタイプを記録対象に含めてください。
記録対象を編集する場合は、Config のマネジメントコンソールから「設定」→「編集」で編集することができます。
なお、AWS のベストプラクティスとしては、"すべてのリソースタイプ"を記録することが推奨されています。
AWS Config ベストプラクティス | Amazon Web Services ブログ
2.すべてのリソースタイプの設定変更を記録します。
AWS Config をセットアップするときは、AWS Config に記録する必要があるリソースタイプとして [すべてのリソース] を選択します。AWS Config は AWS で 60 を超えるさまざまなリソースタイプをサポートしているため、これにより包括的な設定監査が実施されます。新しいリソースタイプは、この設定を介して自動的に記録されます。
記録対象となっているリソースの変更に応じて Config の料金が発生する点にはご注意ください。
AWS リージョンごとに、AWS アカウントに記録された設定項目あたり 0.003USD をお支払いいただきます。設定項目は、リソースの設定や関係に変更があった際に記録されます。リソースには、AWS、サードパーティー、カスタムのリソースが含まれます。関係は、AWS アカウント内で、あるリソースが他のリソースにどのように関連付けられているかを定義するものです。
参考資料
AWS Config ルールの管理 - AWS Config
AWS Config ベストプラクティス | Amazon Web Services ブログ
料金 - AWS Config | AWS
