製品ページ AWS Config
AWS ドキュメント AWS Config
AWSリソースのレポジトリ情報を取得し、リソースの設定例歴を監査、リソース構成の変更を通知することができるフルマネージドサービス
AWS Configは、AWSリソースがいつ、どのように変更されたかの履歴
CloudTrailは、誰がどの操作を行ったかの履歴
AWS Config Rulesにより、AWSリソースの設定ミス を検知してくれる
期間は、最小 30 日~最大 7 年 (2557 日間) の範囲で選択できます。
デフォルトは、最大の7年間です。
変更が検出されるとSNSによって、連絡することができます。
AWSリソースの設定や企業ポリシーとガイドラインとの全体的なコンプライアンスが継続的に監査されて評価されます。
監視1ルールにつき1ヶ月2ドルです。
利用ルールを決めて、そのルール通りに利用されているかをチェックする。
| encrypted-volumes | EBSボリュームが暗号化されているか |
| required-tags | tagが設定されているか |
| s3-account-level-public-access-blocks | アカウントレベルでS3のパブリック・アクセスがブロックされているか |
| approved-amis-by-id | 使用しているAMIは指定したものか |
| ec2-instance-no-public-ip | EC2インスタンスがパブリックIPを持っていないか |
| ec2-instance-managed-by-systems-manager | EC2インスタンスがSSMで管理されているか |
| access-keys-rotated | アクセスキーが設定日数以内にローテーションしているか |
| rds-snapshots-public-prohibited | RDSのパブリックスナップショットがないか |
| rds-snapshot-encrypted | RDSスナップショットは暗号化されているか |
| s3-bucket-server-side-encryption-enabled | S3バケットがSSE暗号化されているか |
| s3-bucket-public-read-prohibited | S3バケットがパブリックREADされないか |
| s3-bucket-public-write-prohibited | S3バケットがパブリックWRITEされないか |
| vpc-flow-logs-enabled | VPCフローログが有効か |
| vpc-default-security-group-closed | VPCの0.0.0.0が閉じられているか |