投稿日: Aug 2, 2022
AWS Config で、AWS CloudFormation Guard (cfn-guard) を使用したカスタム AWS Config ルールの作成が簡単になりました。今回のリリースにより、プログラミング経験の少ないユーザーが Guard でカスタムポリシーを定義および確認して、リソースが希望する設定になっていることをチェックできます。AWS Config ルールは、リソース設定に対するコンプライアンスポリシーを設定して実装するための機能です。現在、AWS Config では、マネージドルール (AWS が一般的なコンプライアンスユースケースに合わせて構築および維持する) とカスタムルール (ユーザーが特定のコンプライアンスニーズに合わせて作成する) の両方を利用できます。Guard はコードとしてのポリシーを提供するオープンソースツールです。ユーザーはポリシーを定義して、ドメイン固有言語 (DSL) を使用した JSON 形式または YAML 形式のデータを検証できます。
以前まで、カスタムルールを作成するには通常、Java や Python などの言語で AWS Lambda 関数を定義する必要がありました。現在では、Guard DSL を使用して AWS Config カスタムルールを作成できるようになりました。AWS Lambda 関数の開発は不要です。セキュリティとコンプライアンスの管理者は、組織が自ら定義したコンプライアンスのニーズを反映するカスタムロジックを、以前より簡単に作成できます。
使用手順としてはまず、AWS Config コンソールを使用して、「ルールの追加」ワークフローによって独自の AWS Config ルールを作成します。ルールロジックはデプロイされる前に正確さを検証されるため、オーバーサイズの設定項目や削除されたリソースがないかのエラーチェックは不要です。また、Guard はルールをアカウントに配置するためのアクセス許可を簡素化します。その結果、Guard を使用した AWS Config ルールによって、ルール作成が複雑ではなくなり、ルールの全体的な開発時間が短縮されます。ルールがデプロイされると、AWS Config でのルール評価に基づいて、リソースコンプライアンスステータスのログを表示できるようになります。