Cloud Config:条件に基づくカスタムルールの作成

背景情報

カスタム条件ルールの概念、使用シナリオ、およびコア機能の詳細については、「条件ルール」をご参照ください。

手順

1. Cloud Config コンソールにログインします。

2. (任意) 左上隅で、アカウントグループを選択します。

   この操作は、リソースディレクトリの管理アカウントを使用している場合にのみ必要です。それ以外の場合は、操作を実行する必要はありません。

3. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [ルール] を選択します。

4. [ルール] ページで、[ルールの作成] をクリックします。

5. [作成方法の選択] ステップで、[条件に基づく] を選択し、リソースタイプを選択し、リソースタイプの条件を構成してから、[次へ] をクリックします。

   次のステップに従って条件を構成します。

   1. 条件を構成します。

      説明

      • Cloud Config でサポートされているリソースタイプとリソースプロパティの詳細については、「Cloud Config でサポートされているリソースタイプとリレーションシップ」をご参照ください。

      • ドライランパネルのリソース構成コードは、指定されたリソースタイプの最初のリソースエントリのデータです。リソースの表示方法の詳細については、「リソースのクエリ」をご参照ください。

      • 条件ルールの要素 (featurePath、operator、desired) を指定する方法の詳細については、「カスタム条件ルールの基本要素」をご参照ください。

      • 単一条件の判定

        例: 各 Elastic Compute Service (ECS) インスタンスで削除保護機能が有効になっているかどうかを確認します。有効な場合、評価結果は「準拠」です。有効でない場合、評価結果は「非準拠」です。

        1. [リソースタイプの選択] ドロップダウンリストから、[Elastic Compute Service] > [Ecs インスタンス] を選択します。

        2. [ドライランパネルの表示] をクリックします。

        3. [ビジュアルエディター] タブで、デフォルトの条件関係 and を使用し、[リソース機能] ドロップダウンリストから [リソース構成] > [DeletionProtection] を選択し、オペレータードロップダウンリストから [StringEquals] を選択し、[期待値] フィールドに false を指定します。

      • 複数条件の判定

        例: 次のいずれかの条件が満たされた場合、条件ルールの評価結果は「準拠」になります。次の条件がいずれも満たされない場合、条件ルールの評価結果は「非準拠」になります。

        条件 1: ActionTrail にアクティブなトレイルが少なくとも 1 つ存在するかどうかを確認します。存在する場合、評価結果は「準拠」です。存在しない場合、評価結果は「非準拠」です。

        条件 2: 各 ActionTrail トレイルがすべてのリージョンからイベントを配信するかどうかを確認します。配信する場合、評価結果は「準拠」です。配信しない場合、評価結果は「非準拠」です。

        1. [リソースタイプの選択] ドロップダウンリストから、[ActionTrail] > [ActionTrail トレイル] を選択します。

        2. [ドライランパネルの表示] をクリックします。

        3. [ビジュアルエディター] タブで、条件関係 or を使用し、[リソース機能] ドロップダウンリストから [リソース構成] > [ステータス] を選択し、[オペレーター] ドロップダウンリストから [StringEquals] を選択し、[期待値] フィールドに Enable を指定します。

        4. [条件の追加] をクリックし、[リソース機能] ドロップダウンリストから [リソース構成] > [TrailRegion] を選択し、[オペレーター] ドロップダウンリストから [StringEquals] を選択し、[期待値] フィールドに All を指定します。

      説明

      ドライランパネルの右上隅にある [スクリプトエディター] をクリックして、エディターでコードを記述することもできます。

   2. ドライランパネルの右上隅にある [ドライラン] をクリックします。

      [ビジュアルエディター] タブに評価結果が表示されます。次の評価結果がサポートされています: 準拠および非準拠。評価結果は、構成した条件ルールに基づいて Cloud Config がドライランパネルのリソース構成を評価した後に返されます。

      • 評価結果は「準拠」です。

        ほとんどの場合、この結果は条件ルールが期待どおりに構成されていることを示します。次のステップに進んで条件ルールを構成できます。

      • 評価結果は「非準拠」です。

        • この結果は、条件ルールの [期待値] フィールドで指定した値が無効であることを示している可能性があります。無効な条件を確認し、値を変更して別のドライランを実行します。

        • この結果は、リソース構成が「非準拠」であることを示している可能性があります。結果が期待どおりである場合は、次のステップに進んで条件ルールを構成できます。

6. [基本プロパティの設定] ステップで、ルール名、リスクレベル、トリガー、および説明パラメーターを設定し、[次へ] をクリックします。

7. [有効範囲の設定] ステップで、条件ルールの有効範囲を指定し、[次へ] をクリックします。

8. [修復の設定] ステップで、[送信] をクリックします。

   [修復の設定] をオンにして、プロンプトに従ってルールのカスタム修復を構成できます。詳細については、「カスタム修復の構成」をご参照ください。

参考資料

• ドライランパネルにリソースデータが存在しないのはなぜですか？

• 条件ルールの条件はどのように機能しますか？

• リソース機能とは何ですか、またリソース機能の値を取得するにはどうすればよいですか？

• 構成したルール条件を保存または共有するにはどうすればよいですか？