設定不備の自動修正

AWS Config を使用した自動化

AWS Config ルールの「自動修復」機能を使用すると、AWS の設定についてコンプライアンス準拠を強制できます。この機能を使うと、AWS Systems Manager Automation を実行して、構成を望ましい状態に戻すことができます。

防止 vs 検出と修正

IAM ポリシーやサービスコントロールポリシー(SCP) を使って、設定不備を防止できないかと疑問に思うかもしれません。ポリシーによる防止の利点は、誤った設定が一時的にでも存在しないことです。一方、検出と修正には数分かかる可能性があります。しかし、開発者は「アクセスが拒否されました」というメッセージに遭遇すると、なぜそうなったのか、何が許可されていないのかがよくわからず、デプロイに失敗することがよくあります。AWS Config ルールのようなサービスを使って設定の不備を検出し、対応を自動化することには、次のようなメリットがあります。

  • 変更を加えた人に、許可されていないため推奨設定に戻されたことを通知でき、開発者体験が向上します(タグを使って所有者に通知できる)。
  • ポリシー作成前から存在した設定不備は、IAM/SCP では修正できません。
  • ポリシーを無視する権限を持つ管理者が誤って設定を変更した場合、AWS Config ルールがそれを修正します。
  • 設定の不備が検出されたときにチケットを作成し、問題が解決されたら自動的にチケットを閉じるなど、柔軟なアプローチが取れます。

評価のガイダンス

  • リソースの設定の不備があった場合にチケットを作成していますか?
  • 設定の不備を自動的に修正していますか?

料金