1. サーバーワークス サポートセンター
  2. Cloud Automator
  3. はじめに

構成レビューとは

Cloud Automatorは、お客様のAWSリソースが決められたルールに従って構成されているかどうかを定期的にレビューする構成レビューを提供します。

構成レビューを利用することで、AWSの環境が計画どおりに運用されているかどうかが誰でもすぐに把握できるようになります。EC2、ELB、RDS、といったAWSリソースが耐障害性や可用性、セキュリティといった観点から正しく構成されているかを、プログラミングすることなく定期的にレビューさせることができます。

構成レビュー機能では、あらかじめ用意されている「ポリシーセットテンプレート」の中から、レビューしたい項目となる「ポリシー」を選択して「ポリシーセット」を作成しますので、プログラミングは不要です。
※構成レビューはバックエンドにAWS Config Rulesを使用しており、Cloud Automatorのご利用料金とは別にAWS Config Rulesのご利用料金がかかります

 

事前準備

構成レビューをご利用いただくには、AWS Configの初回セットアップが必要です。詳しくはこちらをご参照ください。

AWS Configの初回セットアップ

 

ご利用可能なポリシー

現在以下のポリシーがご利用いただけます。

サーバーワークスおすすめポリシーセットテンプレート

  • タグで指定されたディストリビューションのSSLサーバー証明書にCertificate Managerが使われていること
  • タグで指定されたElastiCacheクラスター(Redis)がMulti Availability Zoneで構成されており、フェイルオーバーが有効となっていること
  • セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 3389番(RDP)の許可ルールが存在しないこと
  • 全てのEBSボリュームに指定されたタグキーが付与されていること
  • タグで指定されたELBがタグで指定されたVPCで起動されていること
  • DBインスタンスはAutomated Backupsが有効になっていること
  • タグで指定されたEC2インスタンスがタグで指定されたVPCで起動されていること
  • タグで指定されたELBがMulti Availability Zoneで構成されており、EC2インスタンスが均等に割り当てられていること
  • すべてのIAMユーザーはいずれかのIAMグループに所属していること
  • 仮想デバイスを使ってルートアカウントに多要素認証が有効化されていること
  • 全てのS3バケットは指定されたキーのタグが付与されていること
  • タグで指定されたEC2インスタンスにssm-agentがインストールされていること
  • 請求レポートの出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • すべてのIAMグループはIAM Policyが一つ以上割り当たっていること
  • タグで指定されたWindows ServerのEC2インスタンスにEC2Configがインストールされていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3306番(MySQL)の許可ルールが存在すること
  • Trusted Advisorによるチェックのステータスが全て「OK」となっていること
  • タグで指定されたElastiCacheクラスターがタグで指定されたVPCで起動されていること
  • IAMユーザーが1つ以上作成されていること
  • タグで指定されたEC2インスタンスが複数のアベイラビリティゾーンで稼働されていること
  • タグで指定したVPCのVPC Flow Logsが有効化されログの保存先としてCloudWatch Logsのロググループが指定されていること
  • タグで指定されたElastiCacheクラスター(Memcached)がMulti Availability Zoneで構成されていること
  • ELBにはAWSで定義された最新のSSLポリシーが設定されていること
  • タグで指定されたDBインスタンスがタグで指定されたVPCで起動されていること
  • すべてのIAMユーザーは個別にIAM Policyが設定されていないこと
  • CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること
  • タグで指定されたDBインスタンスはMulti Availability Zoneオプションが有効になっていること
  • ELBのログ出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • タグで指定されたELBのSSLサーバー証明書にCertificate Managerが使われていること
  • ELBのログ出力が有効化されており、設定されたS3バケットにログが出力されていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 1121番(Memcached)- の許可ルールが存在すること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 22番(SSH)の許可ルールが存在すること
  • 全てのVPN接続は指定されたキーのタグが付与されていること
  • CloudTrailが有効化され、ログの保存先としてS3バケットが指定されていること
  • IAMグループが1つ以上作成されていること
  • 請求レポートの出力先としてS3バケットが設定されていること
  • CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 6379番(Redis)の許可ルールが存在すること
  • 全てのEC2インスタンスは指定されたキーのタグが付与されていること
  • タグで指定されたEC2インスタンスに指定されたIAMロールが割り当たっていること
  • セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと
  • 指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと
  • CloudWatchの請求アラートが有効化されていること
  • CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • 全てのDBインスタンスは指定されたキーのタグが付与されていること
  • 指定したユーザーだけが、指定した管理者グループに所属していること
  • タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3389番(RDP)の許可ルールが存在すること
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

このセクションの記事