構成レビューとは

構成レビューはお客様のAWSリソースが決められたルールに従って構成されているか定期的にレビューします。構成レビューにより、AWSの環境は計画されたとおりに運用されているか誰でもすぐに把握出来るようになります。
EC2、ELB、RDS、といったAWSリソースが耐障害性、可用性、セキュリティといった観点から正しく構成されているかプログラミングせずに定期的にレビューします。定期的なレビューによってシステムの品質を一定以上に担保します。
構成レビュー機能では、あらかじめ用意されている「ポリシーセットテンプレート」の中から、レビューしたい項目となる「ポリシー」を選択して「ポリシーセット」を作成しますので、プログラミングは不要です。
※構成レビューはバックエンドにAWS Config Rulesを使用しており、Cloud Automatorのご利用料金とは別にAWS Config Rulesのご利用料金がかかります

現在以下のポリシーがご利用頂けます。

サーバーワークスおすすめポリシーセットテンプレート

  • タグで指定されたディストリビューションのSSLサーバー証明書にCertificate Managerが使われていること
  • タグで指定されたElastiCacheクラスター(Redis)がMulti Availability Zoneで構成されており、フェイルオーバーが有効となっていること
  • セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 3389番(RDP)の許可ルールが存在しないこと
  • 全てのEBSボリュームに指定されたタグキーが付与されていること
  • タグで指定されたELBがタグで指定されたVPCで起動されていること
  • DBインスタンスはAutomated Backupsが有効になっていること
  • タグで指定されたEC2インスタンスがタグで指定されたVPCで起動されていること
  • タグで指定されたELBがMulti Availability Zoneで構成されており、EC2インスタンスが均等に割り当てられていること
  • すべてのIAMユーザーはいずれかのIAMグループに所属していること
  • 仮想デバイスを使ってルートアカウントに多要素認証が有効化されていること
  • 全てのS3バケットは指定されたキーのタグが付与されていること
  • タグで指定されたEC2インスタンスにssm-agentがインストールされていること
  • 請求レポートの出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • すべてのIAMグループはIAM Policyが一つ以上割り当たっていること
  • タグで指定されたWindows ServerのEC2インスタンスにEC2Configがインストールされていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3306番(MySQL)の許可ルールが存在すること
  • Trusted Advisorによるチェックのステータスが全て「OK」となっていること
  • タグで指定されたElastiCacheクラスターがタグで指定されたVPCで起動されていること
  • IAMユーザーが1つ以上作成されていること
  • タグで指定されたEC2インスタンスが複数のアベイラビリティゾーンで稼働されていること
  • タグで指定したVPCのVPC Flow Logsが有効化されログの保存先としてCloudWatch Logsのロググループが指定されていること
  • タグで指定されたElastiCacheクラスター(Memcached)がMulti Availability Zoneで構成されていること
  • ELBにはAWSで定義された最新のSSLポリシーが設定されていること
  • タグで指定されたDBインスタンスがタグで指定されたVPCで起動されていること
  • すべてのIAMユーザーは個別にIAM Policyが設定されていないこと
  • CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること
  • タグで指定されたDBインスタンスはMulti Availability Zoneオプションが有効になっていること
  • ELBのログ出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • タグで指定されたELBのSSLサーバー証明書にCertificate Managerが使われていること
  • ELBのログ出力が有効化されており、設定されたS3バケットにログが出力されていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 1121番(Memcached)- の許可ルールが存在すること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 22番(SSH)の許可ルールが存在すること
  • 全てのVPN接続は指定されたキーのタグが付与されていること
  • CloudTrailが有効化され、ログの保存先としてS3バケットが指定されていること
  • IAMグループが1つ以上作成されていること
  • 請求レポートの出力先としてS3バケットが設定されていること
  • CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 6379番(Redis)の許可ルールが存在すること
  • 全てのEC2インスタンスは指定されたキーのタグが付与されていること
  • タグで指定されたEC2インスタンスに指定されたIAMロールが割り当たっていること
  • セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと
  • 指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと
  • CloudWatchの請求アラートが有効化されていること
  • CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • 全てのDBインスタンスは指定されたキーのタグが付与されていること
  • 指定したユーザーだけが、指定した管理者グループに所属していること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3389番(RDP)の許可ルールが存在すること
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください