AWS Config を始める：非準拠リソースの監視、検出、修復

AWS Config は、コンプライアンスを確保するために AWS リソースの設定を監視および記録するサービスです。このラボでは、EC2 セキュリティグループのコンプライアンスを徹底するために AWS Config を設定する手順を説明します。まず、AWS Config に必要な権限を付与するための IAM ロールを作成します。次に、us-east-1 リージョン内のセキュリティグループの変更を記録するように AWS Config を設定します。その後、「restricted-ssh」などの AWS マネージドルールを定義し、コンプライアンスを評価します。 このラボでは、意図的にパブリック SSH アクセスを許可する非準拠のセキュリティグループを作成します。AWS Config は、この非準拠のリソースを検出し、報告します。次に、AWS Systems Manager Automation を使用して修復アクションを設定し、違反を自動的に修正します。この修復には、特定されたセキュリティグループのパブリック SSH アクセスを無効にすることが含まれます。 修復アクションを実行すると、非準拠のリソースがリストから削除され、セキュリティグループのインバウンドルールが更新されます。ラボの最後には、セキュリティグループが準拠していること、およびパブリック SSH アクセスが削除されていることを確認します。このラボを完了することで、ユーザーはリソースを監視し、設定のずれを検出し、AWS Config を使用してセキュリティとガバナンスポリシーを自動的に適用できるようになります。