トップ > AWS > 【AWS】AWS Configでリソースタグのチェックをする-ルール設定編-

【AWS】AWS Configでリソースタグのチェックをする-ルール設定編-

AWS AWS Config

AWS Configのマネージドルールでリソースのタグをチェックするために、前回の記事ではAWS Configの有効化を行いました。

今回は、実際にリソースタグのチェックを行うマネージドルールの設定をしていきます。

required-tagsについて

ルールで設定したタグがリソースに付与されているかどうかを確認するマネージドルールです。

本記事執筆時点では、以下のリソースタイプに対応しています。

AWS::ACM::Certificate
AWS::AutoScaling::AutoScalingGroup
AWS::CloudFormation::Stack
AWS::CodeBuild::Project
AWS::DynamoDB::Table
AWS::EC2::CustomerGateway
AWS::EC2::Instance
AWS::EC2::InternetGateway
AWS::EC2::NetworkAcl
AWS::EC2::NetworkInterface
AWS::EC2::RouteTable
AWS::EC2::SecurityGroup
AWS::EC2::Subnet
AWS::EC2::Volume
AWS::EC2::VPC
AWS::EC2::VPNConnection
AWS::EC2::VPNGateway
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::RDS::DBInstance
AWS::RDS::DBSecurityGroup
AWS::RDS::DBSnapshot
AWS::RDS::DBSubnetGroup
AWS::RDS::EventSubscription
AWS::Redshift::Cluster
AWS::Redshift::ClusterParameterGroup
AWS::Redshift::ClusterSecurityGroup
AWS::Redshift::ClusterSnapshot
AWS::Redshift::ClusterSubnetGroup
AWS::S3::Bucket

required-tagsルールの詳細と最新情報についてはAWSのドキュメントをご参照ください。

docs.aws.amazon.com

required-tagsの設定

それでは実際にrequired-tagsルールの設定をしていきます。

前提条件

AWS Configの有効化がされていることが前提となります。

※ AWS Config有効化の方法については、前回の記事でご紹介しています。

blog.jbs.co.jp

required-tags設定

ルール選択

AWS Configのダッシュボード左側にある[ルール]をクリックします。

「ルールを追加」をクリックします。

検索欄で「required-tags」と検索し、検索候補に出てくる「名前=required-tags」を選択します。

検索結果に出てきた「required-tags」を選択します。

一番下までスクロールし、「次へ」をクリックします。

ルール詳細設定

次に、ルールの詳細設定を行います。

ルール名は一意の名前を入力します。今回はデフォルトのままとします。

次に評価モードの設定ですが、こちらもデフォルトのままとします。デフォルト値は以下のようになっています。

  • required-tagsルール
    • 「検出評価をオンにする」設定が有効化されており、プロビジョニングされたリソースの評価が行われます。
  • トリガータイプ
    • 「設定変更時」が有効になっており、以下の「変更範囲」設定で指定したリソースに変更があった場合にルールが実行される仕組みになっています。
  • 変更範囲
    • 「リソース」が有効になっており、required-tagsについてで記載したリソースタイプが選択された状態になっています。

次にパラメータ設定です。tag1Keyは必須で、ルールでチェックしたいタグのキーを入力します。

※ 今回はリソースにUSERNAMEタグが付いているか確認を行いたいため、「USERNAME」と入力しました。
※ tag1Key以外の設定は任意です。キーだけでなく値もチェックしたい場合や、複数のタグが付いているかを確認したい場合に入力してください。

設定の入力完了後に「次へ」をクリックします。

確認と作成

「確認と作成」画面では、入力した設定値の確認を行います。

問題なければ「保存」をクリックしてください。

画面上部に「ルール 設定したルール名 がアカウントに追加されました」と表示されます。これでrequired-tagの設定は完了です。

動作確認

ルールを設定してからしばらく待ってみると、「最後に成功した検出評価」に日付と時刻が表示されます。

対象範囲内のリソースを確認してみると、ルールに非準拠のリソース一覧が表示されました。

まとめ

AWS Configのマネージドルールrequired-tagを設定することで、対応しているリソースタイプに関しては簡単にタグのチェックを行うことができるようになりました。

これからも、さらにリソースタイプが増えることを期待します。

次回は、非準拠リソースが検出された際の通知方法についてご紹介します。

執筆担当者プロフィール
近藤 結梨香

近藤 結梨香(日本ビジネスシステムズ株式会社)

業務では主にAzureに携わっています。映画好きで良く映画館に籠っています。

担当記事一覧