【アップデート】AWS Config Rulesに新たに8個のマネージドルールが追加されました!

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Config芸人の森永です。

Config Rulesに新たなマネージドルールが追加されました!嬉しい!

8 new Config Rules to govern the configuration of critical AWS resources

追加されたルール

何が追加されたかを知りたい方はこちらを以下ご覧頂ければ概要は分かります。

  • IAM_PASSWORD_POLICY
    • IAMパスワードポリシーが適切な設定になっているか
  • RDS_STORAGE_ENCRYPTED
    • RDSが暗号化されているか
    • オプションで特定のKMSキーで暗号化されているかも確認可能
  • RDS_MULTI_AZ_SUPPORT
    • RDSがMulti-AZになっているかどうか
  • DB_INSTANCE_BACKUP_ENABLED
    • RDSのバックアップが有効になっているか
    • バックアップウィンドウや保管期間が適切かもチェック可能
  • EBS_OPTIMIZED_INSTANCE
    • EBS最適化できるインスタンスタイプにおいて、EBS最適化が設定されているか
  • DESIRED_INSTANCE_TYPE
    • EC2のインスタンスタイプが指定したインスタンスタイプになっているか
    • インスタンスタイプは複数選択可能
  • APPROVED_AMIS_BY_ID
    • EC2が適切なAMIを使用しているか
  • APPROVED_AMIS_BY_TAG
    • EC2が特定のタグが付いたAMIを使用しているか

各ルールの詳細

Config Rules好きな方はトリガータイプとかパラメータ気になりますよね。わかります。
自分用に表にまとめておきます。

ルール名 トリガータイプ Parameter
IAM_PASSWORD_POLICY 定期
  • RequireUppercaseCharacters – PWに大文字必須かどうか(Boolean)
  • RequireLowercaseCharacters – PWに小文字必須かどうか(Boolean)
  • RequireSymbols – PWに記号必須かどうか(Boolean)
  • RequireNumbers – PWに数字必須かどうか(Boolean)
  • MinimumPasswordLength – PWの最小文字数
  • PasswordReusePrevention – PW再利用できるまでの世代数
  • MaxPasswordAge – パスワードの有効期限
RDS_STORAGE_ENCRYPTED 変更時
  • kmsKeyId – 暗号化するためのKMSキーIDまたはARN
RDS_MULTI_AZ_SUPPORT 変更時
  • なし
DB_INSTANCE_BACKUP_ENABLED 変更時
  • backupRetentionPeriod – バックアップ保存日数.
  • preferredBackupWindow – バックアップウィンドウの期間
EBS_OPTIMIZED_INSTANCE 変更時
  • なし
DESIRED_INSTANCE_TYPE 変更時
  • instanceType – コンマ区切りのインスタンスタイプリスト (例:t2.small, m4.large)
APPROVED_AMIS_BY_ID 変更時
  • amiIds – コンマ区切りのAMIリスト(最大10。)
APPROVED_AMIS_BY_TAG 変更時
  • amisByTagKeyAndValue – コンマ区切りのタグリスト (最大10。例:Name:approved)

試してみる

AWS Config Rulesの管理画面にいって「Add Rule」します。
おお!新しいルールが追加されて合計17個になってます!!もっと増えろ!!!

AWS_Config_Console

今回は「IAM_PASSWORD_POLICY」を試してみます。
ルールを選択すると、このような画面がでてきますが、マネージドルールの場合この部分はほぼ触らなくて良いです。
触るとしたら「Frequency(頻度)」くらいかと思います。

AWS_Config_Console 2

次にパラメータを設定します。
自社のセキュリティポリシーに適合するように設定を変更して下さい。 パラメータの意味は上記で説明したのでそちらをご参照下さい。

AWS_Config_Console 3

わくわく

AWS_Config_Console 4

はい。私のアカウントのパスワードポリシーはルールに違反していました。

AWS_Config_Console 5

IAMのパスワードポリシー管理画面よりルールに適したパスワードポリシーの設定に変更します。

IAM_Management_Console

こちらのルールは24時間毎にチェックなので、24時間待たないといけない、、、というわけではなく、Config Rulesには「Re-evaluate」という機能がありますのでこちらで再チェックを行います。

AWS_Config_Console 6

はい!おみごとルールに適したパスワードポリシーになったことが分かります。

AWS_Config_Console 7

最後に

どんどん有用なマネージドルールがでたらもっとAWS ConfigもConfig Rulesも有名になって使う人が増えると思うので嬉しい限りです!
大量にあるAWSリソースをいちいち手動でチェックするのはもうやめませんか!!!