Cloud Config は、リソースの継続的なコンプライアンスを確保するために使用されます。ルールに基づいてリソースが非準拠と評価された場合、Cloud Config はリソース構成を修復します。ルールを作成するときに修復機能を有効にすると、ルールが非準拠リソースを検出したときに、非準拠構成を迅速に修復できます。これにより、クラウド内の IT システムが自律的かつ継続的にコンプライアンスを達成できます。
修復方法
方法 | 説明 | 制限 | 関連サービス | 参照 |
テンプレート修復 | Operation Orchestration Service (OOS) テンプレートを使用して、非準拠リソースを修復できます。 | 1 つのルールに対して構成できる修復設定は 1 つだけです。特定のテンプレートを使用して作成されたルールのみが、テンプレート修復機能をサポートしています。テンプレート修復をサポートするルールのテンプレートについては、「ルールのテンプレート」をご参照ください。 | OOS は自動的にアクティブ化され、無料です。詳細については、「OOS の概要」をご参照ください。 | |
カスタム修復 | Function Compute 関数を構成し、関数でカスタムコードを実行して、非準拠リソースを修復できます。 | 1 つのルールに対して構成できる修復設定は 1 つだけです。テンプレートベースのルールとカスタムルールの両方が、カスタム修復機能をサポートしています。 | Function Compute では、手動でのアクティブ化と支払いが必須です。詳細については、「Function Compute とは」をご参照ください。 |
AliyunServiceRoleForConfigRemediation サービスロールの管理
Cloud Config の自動修復機能を初めて使用して非準拠リソースを修復するときに、Cloud Config は AliyunServiceRoleForConfigRemediation サービスロールを自動的に作成します。ロールの詳細については、「AliyunServiceRoleForConfigRemediation サービスロールの管理」をご参照ください。
使用上の注意
自動修復機能が有効になると、Cloud Config は、修復設定で指定したパラメーターに基づいて、非準拠リソースの構成を自動的に修復します。修復設定が不適切に構成されていると、業務継続性の問題が発生する可能性があります。たとえば、[oss-bucket-public-write-prohibited] ルールを作成し、そのルールに対して自動修復機能を有効にすると、各 Object Storage Service (OSS) バケットの Bucket ACL パラメーターが自動的に Private に設定されます。ただし、ビジネスで OSS バケットに対するパブリックな読み取りおよび書き込み権限が必要な場合、Bucket ACL パラメーターの値が自動的に修復された後に、データの読み取りと書き込みが影響を受けます。