とある日

AWS Configのマネージドルールが個別でしか見れないのでまとめたページが欲しかったです。

なお、この一覧は現時点（2022年4月24日）の一覧です。

現在は258個のルールがあります。

AWS Configマネージドルール一覧

AWS Config は現在、分析、コンピューティング、暗号化と PKI、データベース、機械学習、管理とガバナンス、移行と転送、ネットワークとコンテンツ配信、セキュリティ、アイデンティティとコンプライアンス、およびストレージの各カテゴリで、次のマネージドルールをサポートしています。

AWS Config マネージドルールのリスト - AWS Config

トピック

下記通り構成しております。

マネージドルール名
概要
ページリンク

access-keys-rotated

アクティブなアクセスキーが、maxAccessKeyAge で指定された日数内にローテーションされるかどうかを確認します。アクセスキーが最大日数の maxAccessKeyAge を超えても更新されていない場合、ルールは NON_COMPLIANT です。 access-keys-rotated

account-part-of-organizations

AWS アカウントが AWS Organizations の一部であるかどうかを確認します。AWS アカウントが AWS Organizations の一部ではない場合、または AWS Organizations のマスターアカウント ID がルールパラメータ MasterAccountId と一致しない場合は、ルールは NON_COMPLIANT です。 account-part-of-organizations

acm-certificate-expiration-check

アカウントの AWS Certificate Manager 証明書が、指定の日数以内で有効期限切れとしてマークされているかどうかを確認します。ACM が提供する証明書は自動的に更新されます。ACM は、ユーザーがインポートした証明書を自動的に更新しません。証明書の有効期限が近づいている場合、ルールは NON_COMPLIANT です。 acm-certificate-expiration-check

alb-http-drop-invalid-header-enabled

AWS Application Load Balancers (ALB) が http ヘッダーをドロップするように設定されていることをルールが評価するかどうかを確認します。routing.http.drop_invalid_header_fields.enabled の値が false に設定されている場合、ルールは NON_COMPLIANT です。 alb-http-drop-invalid-header-enabled

alb-http-to-https-redirection-check

HTTP から HTTPS へのリダイレクトが Application Load Balancer のすべての HTTP リスナーで設定されているかどうかを確認します。Application Load Balancer の 1 つまたは複数の HTTP リスナーに HTTP から HTTPS へのリダイレクトが設定されていない場合、ルールは NON_COMPLIANT です。また、1 つ以上の HTTP リスナーが、リダイレクトではなく HTTP リスナーへの転送を行っている場合、ルールは NON_COMPLIANT となります。 alb-http-to-https-redirection-check

alb-waf-enabled

Application Load Balancer (ALB) でウェブアプリケーションファイアウォール (WAF) が有効になっているかどうかを確認します。key: waf.enabled が false に設定されている場合、このルールは NON_COMPLIANT です。 alb-waf-enabled

api-gw-associated-with-waf

Amazon API Gateway API ステージで AWS WAF ウェブ ACL が使用されているかどうかを確認します。AWS WAF ウェブ ACL が使用されていないか、または使用されている AWS ウェブ ACL が、ルールパラメータにリストされているものと一致しない場合、このルールは NON_COMPLIANT です。 api-gw-associated-with-waf

api-gw-cache-enabled-and-encrypted

Amazon API Gateway ステージのすべてのメソッドでキャッシュが有効になっているか、および暗号化されているかどうかを確認します。Amazon API Gateway ステージのいずれかのメソッドでキャッシュが設定されていない場合、またはキャッシュが暗号化されていない場合、ルールは NON_COMPLIANT です。 api-gw-cache-enabled-and-encrypted

api-gw-endpoint-type-check

Amazon API Gateway の API がルールパラメータ endpointConfigurationType で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON_COMPLIANT を返します。 api-gw-endpoint-type-check

api-gw-execution-logging-enabled

Amazon API Gateway ステージのすべてのメソッドのログ記録が有効になっていることを確認します。ログ記録が有効でない場合、ルールは NON_COMPLIANT です。loggingLevel が ERROR でも INFO でもない場合、ルールは NON_COMPLIANT です。 api-gw-execution-logging-enabled

api-gw-ssl-enabled

REST API ステージで Secure Sockets Layer (SSL) 証明書が使用されるかどうかを確認します。REST API ステージに関連する SSL 証明書がない場合、このルールは NON_COMPLIANT です。 api-gw-ssl-enabled

api-gw-xray-enabled

Amazon API Gateway REST API で AWS X-Ray トレースが有効になっているかどうかを確認します。X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON_COMPLIANT です。 api-gw-xray-enabled

approved-amis-by-id

実行中のインスタンスで指定された AMI が使用されているかどうかを確認します。承認済み AMI ID のリストを指定します。実行中のインスタンスで使用されている AMI が、このリストにない場合は NON_COMPLIANT です。 approved-amis-by-id

approved-amis-by-tag

実行中のインスタンスで指定された AMI が使用されているかどうかを確認します。AMI を識別するタグを指定します。実行中のインスタンスで使用されている AMI に、指定したタグの少なくとも 1 つがない場合は NON_COMPLIANT です。 approved-amis-by-tag

aurora-mysql-backtracking-enabled

Amazon Aurora MySQL クラスターでバックトラッキングが有効になっているかどうかを確認します。Aurora クラスターで MySQL が使用されているが、バックトラッキングが有効になっていない場合、このルールは NON_COMPLIANT です。 aurora-mysql-backtracking-enabled

バックアップ計画によって保護された Aurora リソース

Amazon Aurora DB クラスターがバックアッププランで保護されているかどうかを確認します。Amazon Relational Database Service (Amazon RDS) データベースクラスターがバックアッププランによって保護されていない場合、ルールは NON_COMPLIANT です。バックアップ計画によって保護された Aurora リソース

autoscaling-group-elb-healthcheck-required

ロードバランサーに関連付けられた Auto Scaling グループで、Elastic Load Balancing のヘルスチェックが使用されているかどうかを確認します。 autoscaling-group-elb-healthcheck-required

autoscaling-launch-config-public-ip-disabled

Amazon EC2 Auto Scaling グループのパブリック IP アドレスが、起動設定によって有効になっているかどうかを確認します。Auto Scaling グループの起動設定で、AssociatePublicIpAddress が「true」に設定されている場合、このルールは NON_COMPLIANT です。 autoscaling-launch-config-public-ip-disabled

autoscaling-multiple-az

Auto Scaling グループが複数のアベイラビリティーゾーンにまたがっているかどうかを確認します。Auto Scaling グループが複数のアベイラビリティーゾーンにまたがっていない場合、ルールは NON_COMPLIANT になります。 autoscaling-multiple-az

バックアップ計画-分-頻度と分保持チェック

バックアッププランに、必要な頻度と保存期間を満たすバックアップルールがあるかどうかを確認します。このルールは、少なくとも指定した頻度と同じ頻度でリカバリポイントが作成されない場合、または指定した期間より前に期限切れになる場合は、非準拠です。バックアップ計画-分-頻度と分保持チェック

バックアップ/リカバリポイント暗号化

リカバリポイントが暗号化されているかどうかを確認します。リカバリポイントが暗号化されていない場合、ルールは NON_COMPLIANT です。バックアップ/リカバリポイント暗号化

バックアップ/リカバリポイントの手動削除/無効化

バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されているかどうかを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメントのないポリシーがある場合、ルールは NON_COMPLIANT です。バックアップ/リカバリポイントの手動削除/無効化

バックアップ/リカバリポイントの最小保存期間チェック

リカバリポイントが、指定した期間より前に期限切れになるかどうかを確認します。リカバリポイントに必要な保持期間より短いリテンションポイントがある場合、ルールは NON_COMPLIANT です。バックアップ/リカバリポイントの最小保存期間チェック

beanstalk-enhanced-health-reporting-enabled

AWS Elastic Beanstalk 環境が拡張ヘルスレポートを作成するよう設定されているかどうかを確認します。この環境が拡張ヘルスレポートを作成するよう設定されている場合、ルールは COMPLIANT です。環境が基本ヘルスレポートを作成するよう設定されている場合、ルールは NON_COMPLIANT です。 beanstalk-enhanced-health-reporting-enabled

clb-multiple-az

Classic Load Balancer が複数のアベイラビリティーゾーン (AZ) にまたがるかどうかをチェックします。Classic Load Balancer が 2 AZ 未満の場合、または minAvailabilityZones パラメータ (指定されている場合) に記載されている数の AZ にまたがっていない場合は、ルールは NON_COMPLIANT です。 clb-multiple-az

cloudformation-stack-drift-detection-check

Cloud Formation スタックの実際の設定が、意図した設定と異なっているかどうか、またはドリフトしているかどうかを確認します。スタックの 1 つ以上のリソースが意図した設定と異なっている場合、スタックはドリフトしたと見なされます。このルールとスタックは、スタックのドリフトステータスが IN_SYNC の場合、COMPLIANT です。このルールとスタックは、スタックのドリフトステータスが DRIFTED の場合、NON_COMPLIANT です。 cloudformation-stack-drift-detection-check

cloudformation-stack-notification-check

CloudFormation スタックが SNS トピックにイベント通知を送信しているかどうか確認します。オプションで、指定された SNS トピックが使用されているかどうか確認します。 cloudformation-stack-notification-check

cloudfront-accesslogs-enabled

Amazon CloudFront ディストリビューションが、Amazon Simple Storage Service (Amazon S3) サーバーアクセスログから情報をキャプチャするように設定されているかどうかを確認します。CloudFront ディストリビューションにログ記録が設定されていない場合、このルールは NON_COMPLIANT です。 cloudfront-accesslogs-enabled

cloudfront-associated-with-waf

Amazon CloudFront ディストリビューションが WAF または WAFv2 ウェブアクセスコントロールリスト (ACL) に関連付けられているかどうかを確認します。CloudFront ディストリビューションがウェブ ACL に関連付けられていない場合、このルールは NON_COMPLIANT です。 cloudfront-associated-with-waf

cloudfront-custom-ssl-certificate

Amazon CloudFront ディストリビューションに関連付けられている証明書が、デフォルトの Secure Sockets Layer (SSL) 証明書であるかどうかを確認します。CloudFront ディストリビューションでデフォルトの SSL 証明書が使用される場合、このルールは NON_COMPLIANT です。 cloudfront-custom-ssl-certificate

cloudfront-default-root-object-configured

Amazon CloudFront ディストリビューションが、デフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかを確認します。Amazon CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、ルールは NON_COMPLIANT です。 cloudfront-default-root-object-configured

cloudfront-no-deprecated-ssl-protocols

CloudFront ディストリビューションが CloudFront エッジロケーションとカスタムオリジン間の HTTPS 通信に非推奨の SSL プロトコルを使用しているかどうかを確認します。「OriginSslProtocols」に「SSLv3」が含まれる場合、このルールは CloudFront ディストリビューションでは非準拠です。 cloudfront-no-deprecated-ssl-protocols

cloudfront-origin-access-identity-enabled

S3 オリジンタイプの Amazon CloudFront ディストリビューションにオリジンアクセスアイデンティティ (OAI) が設定されているかどうかを確認します。CloudFront ディストリビューションが S3 によってバックアップされていて、いずれかの S3 オリジンタイプが OAI 設定されていない場合、ルールは NON_COMPLIANT です。オリジンが S3 バケットでない場合、ルールは NON_COMPLIANT です。オリジンが S3 バケットではない場合、ルールは NOT_APPLICABLE を返しません。 cloudfront-origin-access-identity-enabled

cloudfront-origin-failover-enabled

Amazon CloudFront のオリジングループ内の少なくとも 2 つのオリジンのディストリビューションに対してオリジングループが設定されているかどうかを確認します。ディストリビューションのオリジングループがない場合、このルールは NON_COMPLIANT です。 cloudfront-origin-failover-enabled

cloudfront-sni-enabled

Amazon CloudFront ディストリビューションでカスタム SSL 証明書が使用されていて、SNI を使用して HTTPS リクエストを処理するように設定されているかどうかを確認します。カスタム SSL 証明書が関連付けられているものの、SSL サポートメソッドが専用 IP アドレスである場合、このルールは NON_COMPLIANT です。 cloudfront-sni-enabled

loudfront-traffic-to-origin-encrypted

Amazon CloudFront ディストリビューションがカスタムオリジンへのトラフィックを暗号化しているかどうかを確認します。「OriginProtocolPolicy」が「http のみ」の場合、または「OriginProtocolPolicy」が「マッチビューア」で「ViewerProtocolPolicy」が「すべて許可」の場合、ルールは非準拠です。 loudfront-traffic-to-origin-encrypted

cloudfront-viewer-policy-https

Amazon CloudFront ディストリビューションが HTTPS を (直接またはリダイレクト経由で) 使用しているかどうかを確認します。ViewerProtocolPolicy の値が defaultCacheBehavior または cacheBehaviors に対して 'allow-all' に設定されている場合、ルールは NON_COMPLIANT です。 cloudfront-viewer-policy-https

cloudtrail-s3-dataevents-enabled

少なくとも 1 つの AWS CloudTrail 証跡がすべての S3 バケットの Amazon S3 データイベントをログ記録しているかどうかを確認します。S3 バケットのデータイベントをログに記録する証跡が設定されていない場合、ルールは NON_COMPLIANT です。 cloudtrail-s3-dataevents-enabled

cloudtrail-security-trail-enabled

セキュリティのベストプラクティスを使用して定義された AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: cloudtrail-security-trail-enabled

cloudwatch-alarm-action-check

CloudWatch アラームで、少なくとも 1 つのアラームアクション、1 つの INSUFFICIENT_DATA アクション、または 1 つの OK アクションが有効になっているかどうかを確認します。必要に応じて、指定した ARN のいずれかに一致するアクションがあるかどうかを確認します。 cloudwatch-alarm-action-check

cloudwatch-alarm-action-enabled-check

Amazon CloudWatch アラームアクションが有効な状態にあるかどうかをチェックします。CloudWatch アラームアクションが有効状態でない場合、ルールは NON_COMPLIANT です。 cloudwatch-alarm-action-enabled-check

cloudwatch-alarm-resource-check

指定したリソースタイプに、指定したメトリクスの CloudWatch アラームがあるかどうかを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、RDS クラスター、または S3 バケットを指定できます。 cloudwatch-alarm-resource-check

cloudwatch-alarm-settings-check

特定のメトリクス名を持つ CloudWatch アラームに指定された設定があるかどうかを確認します。 cloudwatch-alarm-settings-check

cloudwatch-log-group-encrypted

Amazon CloudWatch Logs のロググループが、AWS Key Management Service (KMS) によって管理されているカスタマーマスターキー (CMK) で暗号化されているかどうかを確認します。AWS KMS CMK がロググループで設定されていない場合、ルールは NON_COMPLIANT です。 cloudwatch-log-group-encrypted

cloud-trail-cloud-watch-logs-enabled

AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、この証跡は準拠していません。 cloud-trail-cloud-watch-logs-enabled

cloudtrail-enabled

AWS アカウントで AWS CloudTrail が有効になっているかどうかを確認します。必要に応じて、使用する S3 バケット、SNS トピック、および AWS CloudTrail の ARN を指定できます AWS CloudTrailが有効でない場合、ルールは NON_COMPLIANT です。 cloudtrail-enabled

cloud-trail-encryption-enabled

AWS CloudTrail がサーバー側の暗号化 (SSE) AWS Key Management Service KMSキーの暗号化を使用するよう設定されているかどうかを確認します。KmsKeyId が定義されている場合、ルールは COMPLIANT です。 cloud-trail-encryption-enabled

cloud-trail-log-file-validation-enabled

AWS CloudTrail でログを含む署名付きダイジェストファイルが作成されるかどうかを確認します。AWS では、すべての証跡でファイルの検証を有効にすることをお勧めします。検証が有効化されていない場合は、ルールは NON_COMPLIANT です。 cloud-trail-log-file-validation-enabled

cmk-backing-key-rotation-enabled

各キーのキーローテーションが有効になっていること、およびカスタマーが作成したキー ID AWS KMS key (KMS key) と一致していることを確認します。特定のキーオブジェクトでキーのローテーションが有効になっている場合、ルールは COMPLIANT です。このルールは、インポートされたキーマテリアルを持つ KMS には適用されません。 cmk-backing-key-rotation-enabled

codebuild-project-artifact-encryption

AWS CodeBuild プロジェクトで、そのアーティファクトのすべてに対して暗号化が有効化されているかどうかを確認します。プライマリまたはセカンダリ (存在する場合) のアーティファクト設定のいずれかに「encryptionDisabled」が「true」に設定されていると、ルールは NON_COMPLIANT になります。 codebuild-project-artifact-encryption

codebuild-project-environment-privileged-check

AWS CodeBuild プロジェクト環境で特権モードが有効化されているかどうかを確認します。「privilegedMode」が「true」に設定されている場合、ルールは CodeBuild プロジェクトに対して NON_COMPLIANT になります。 codebuild-project-environment-privileged-check

codebuild-project-envvar-awscred-check

プロジェクトに環境変数 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が含まれているかどうか確認します。プロジェクト環境変数にプレーンテキストの認証情報が含まれている場合、ルールは NON_COMPLIANT です。 codebuild-project-envvar-awscred-check

codebuild-project-logging-enabled

AWS CodeBuild プロジェクト環境で、少なくとも 1 つのログオプションが有効になっているかどうかを確認します。「logsConfig」が存在しない場合、または存在するすべてのログ設定のステータスが「DISABLED」に設定されている場合、ルールは NON_COMPLIANT になります。 codebuild-project-logging-enabled

codebuild-project-s3-logs-encrypted

Amazon S3 ログが設定されている AWS CodeBuild プロジェクトで、そのログに対して暗号化が有効化されているかどうかを確認します。CodeBuild プロジェクトの s3LogsConfig で「encryptionDisabled」が「true」に設定されている場合、ルールは NON_COMPLIANT になります。 codebuild-project-s3-logs-encrypted

codebuild-project-source-repo-url-check

GitHub または Bitbucket のソースレポジトリの URL に、個人用のアクセストークンまたはユーザー名とパスワードが含まれているかどうか確認します。このルールは、GitHub または Bitbucket レポジトリへのアクセス権限を付与するための OAuth の使用に準拠しています。 codebuild-project-source-repo-url-check

codedeploy-auto-rollback-monitor-enabled

デプロイグループに、アラームがアタッチされた自動デプロイロールバックとデプロイモニタリングが設定されているかどうかを確認します。AutoRollbackConfiguration もしくは AlarmConfiguration が設定されていない、または有効化されていない場合、ルールは NON_COMPLIANT になります。 codedeploy-auto-rollback-monitor-enabled

codedeploy-ec2-minimum-healthy-hosts-configured

EC2/オンプレミスコンピューティングプラットフォームのデプロイグループに、正常なホストフリートの最小割合、または入力しきい値以上のホスト数が設定されているかどうかを確認します。どちらかがしきい値を下回っている場合、ルールは NON_COMPLIANT になります。 codedeploy-ec2-minimum-healthy-hosts-configured

codedeploy-lambda-allatonce-traffic-shift-disabled

Lambda コンピューティングプラットフォームのデプロイグループがデフォルトのデプロイ設定を使用していないかどうかを確認します。デプロイグループが「CodeDeployDefault.LambdaAllAtOnce」のデプロイ設定を使用している場合、ルールは NON_COMPLIANT になります。 codedeploy-lambda-allatonce-traffic-shift-disabled

codepipeline-deployment-count-check

AWS CodePipeline の最初のデプロイステージで複数のデプロイが実行されるかどうかを確認します。必要に応じて、後続の残りの各ステージで、指定された数 (deploymentLimit) を超えるデプロイが実行されているかどうかを確認します。 codepipeline-deployment-count-check

codepipeline-region-fanout-check

AWS CodePipeline の各ステージで、以前のすべてのステージで AWS CodePipeline によってデプロイされたリージョンの数の N 倍を超えるリージョンにデプロイしているかどうかを確認します (N はリージョンファンアウト数)。最初のデプロイステージでは最大 1 個のリージョンにデプロイでき、2 番目のデプロイステージでは regionFanoutFactor で指定された最大数までデプロイできます。regionFanoutFactor を指定しない場合、デフォルト値は 3 です。例えば、最初のデプロイステージで 1 つのリージョンにデプロイし、2 番目のデプロイステージで 3 つのリージョンにデプロイする場合、3 番目のデプロイステージでは 12 のリージョン、つまり、以前のステージの合計数にファンアウトリージョン数 (3) を乗算した数までデプロイできます。ルールは、デプロイ先の数が第 1 ステージで 1 リージョン、2 番目のステージで 3 リージョン、または 3 番目のステージで 12 リージョンを超える場合、ルールは NON_COMPLIANT です。 codepipeline-region-fanout-check

cw-loggroup-retention-period-check

Amazon CloudWatch LogGroup の保持期間が特定の日数に設定されているかどうかを確認します。ロググループの保持期間が MinRetentionTime パラメータより短い場合、ルールは NON_COMPLIANT です。 cw-loggroup-retention-period-check

dax-encryption-enabled

Amazon DynamoDB Accelerator (DAX) クラスターが暗号化されていることを確認します。DAX クラスターが暗号化されていない場合、ルールは NON_COMPLIANT です dax-encryption-enabled

db-instance-backup-enabled

RDS DB インスタンスでバックアップが有効になっているかどうかを確認します。オプションで、バックアップ保存期間およびバックアップウィンドウを確認します。 db-instance-backup-enabled

desired-instance-tenancy

インスタンスのテナンシーが指定したものかどうかを確認します。AMI からインスタンスが起動されているかどうかを確認するには AMI ID を指定し、専有ホストからインスタンスが起動されているかどうかを確認するにはホスト ID を指定します。複数の ID 値はカンマで区切ります。 desired-instance-tenancy

desired-instance-type

EC2 インスタンスのインスタンスタイプが指定したものであるかどうかを確認します。 desired-instance-type

dms-replication-not-public

AWS Database Migration Service のレプリケーションインスタンスがパブリックであるかどうかを確認します。PubliclyAccessible フィールドが true の場合、ルールは NON_COMPLIANT です。 dms-replication-not-public

dynamodb-autoscaling-enabled

Auto Scaling またはオンデマンドが DynamoDB テーブル、グローバルセカンダリインデックス、またはその両方で有効になっているかどうかを確認します。必要に応じて、テーブルまたはグローバルセカンダリインデックスの読み取りおよび書き込みキャパシティーユニットを設定できます。 dynamodb-autoscaling-enabled

dynamodb-in-backup-plan

Amazon DynamoDB テーブルが AWS Backup プランに存在するかどうかを確認します。Amazon DynamoDB テーブルがどの AWS Backup プランにも存在しない場合、ルールは NON_COMPLIANT です。 dynamodb-in-backup-plan

dynamodb-pitr-enabled

ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。ポイントインタイムリカバリが Amazon DynamoDB テーブルに対して有効になっていない場合、ルールは NON_COMPLIANT です。 dynamodb-pitr-enabled

DynamoDB-バックアップ計画によって保護されるリソース

Amazon DynamoDB テーブルがバックアップ計画で保護されているかどうかを確認します。DynamoDB テーブルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 DynamoDB-バックアップ計画によって保護されるリソース

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルが AWS Key Management Service (KMS) で暗号化されているかどうかを確認します。Amazon DynamoDB テーブルが AWS KMS で暗号化されていない場合、ルールは NON_COMPLIANT です。暗号化された AWS KMS キーが kmsKeyArns 入力パラメータに存在しない場合も、ルールは NON_COMPLIANT です。 dynamodb-table-encrypted-kms

dynamodb-table-encryption-enabled

Amazon DynamoDB テーブルが暗号化されているかどうか、およびそのステータスを確認します。ステータスが有効または有効化中の場合、ルールは COMPLIANT です。 dynamodb-table-encryption-enabled

dynamodb-throughput-limit-check

DynamoDB のプロビジョンドスループットがアカウントの上限に近づいているかどうかを確認します。デフォルトでは、このルールはプロビジョンドスループットがアカウント上限の 80% のしきい値を超えているかどうかを確認します。 dynamodb-throughput-limit-check

ebs-in-backup-plan

Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のバックアッププランに追加されているかどうかを確認します。Amazon EBS ボリュームが Backup プランに含まれていない場合、ルールは NON_COMPLIANT です。 ebs-in-backup-plan

ebs-optimized-instance

EBS 最適化できる EC2 インスタンスに対して EBS 最適化が有効になっているかどうかを確認します。EBS 最適化できる EC2 インスタンスに対して EBS 最適化が有効化されていない場合、ルールは NON_COMPLIANT です。 ebs-optimized-instance

バックアップ計画によって保護された EBS リソース

Amazon Elastic Block Store (Amazon EBS) ボリュームが、バックアップ計画に追加されているかどうかを確認します。Amazon EBSボリュームがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。バックアップ計画によって保護された EBS リソース

ebs-snapshot-public-restorable-check

Amazon Elastic Block Store (Amazon EBS) スナップショットがパブリックに復元不可能になっているかどうかを確認します。RestorableByUserIds フィールドを持つ 1 つ以上のスナップショットが「all」に設定されている場合、つまり Amazon EBS スナップショットがパブリックである場合、ルールは NON_COMPLIANT です。 ebs-snapshot-public-restorable-check

ec2-ebs-encryption-by-default

Amazon Elastic Block Store (EBS) 暗号化がデフォルトで有効になっていることを確認します。暗号化が有効でない場合、ルールは NON_COMPLIANT です。 ec2-ebs-encryption-by-default

ec2-imdsv2-check

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータのバージョンが、Instance Metadata Service Version 2 (IMDSv2) で設定されているかどうかを確認します。HttpTokens が「optional」に設定されている場合、ルールは NON_COMPLIANT です。 ec2-imdsv2-check

ec2-instance-detailed-monitoring-enabled

詳細モニタリングが EC2 インスタンスに対して有効になっているかどうかを確認します。詳細モニタリングが有効になっていない場合、ルールは NON_COMPLIANT です。 ec2-instance-detailed-monitoring-enabled

ec2-instance-managed-by-systems-manager

アカウント内の Amazon EC2 インスタンスが AWS Systems Manager によって管理されているかどうかを確認します。Amazon EC2 インスタンスが接続を失っている場合、ルールは NON_COMPLIANT になります。 ec2-instance-managed-by-systems-manager

ec2-instance-multiple-eni-check

Amazon Elastic Compute Cloud (Amazon EC2) で複数の ENI (Elastic Network Interface) または Elastic Fabric Adapter (EFA) が使用されているかどうかを確認します。Amazon EC2 インスタンスで複数のネットワークインターフェイスが使用されている場合、このルールは NON_COMPLIANT です。 ec2-instance-multiple-eni-check

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリック IP の関連付けがあるかどうかを確認します。Amazon EC2 インスタンスの設定項目に publicIp フィールドが存在する場合、ルールは NON_COMPLIANT です。このルールは、IPv4 のみに適用されます。 ec2-instance-no-public-ip

ec2-instance-profile-attached

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに Identity and Access Management (IAM) プロファイルがアタッチされているかどうかを確認します。IAM プロファイルが Amazon EC2 インスタンスにアタッチされていない場合、このルールは NON_COMPLIANT です。 ec2-instance-profile-attached

ec2-managedinstance-applications-blacklisted

指定したアプリケーションのいずれもインスタンスにインストールされていないことを確認します。必要に応じて、バージョンを指定します。新しいバージョンはブラックリストに記載されません。オプションで、プラットフォームを指定すると、このプラットフォームを実行しているインスタンスにのみルールが適用されます。 ec2-managedinstance-applications-blacklisted

ec2-managedinstance-applications-required

すべての指定したアプリケーションが、インスタンスにインストールされているかどうかを確認します。オプションで、使用可能な最小バージョンを指定します。また、そのプラットフォームを実行中のインスタンスのみにルールを適用するプラットフォームを指定できます。 ec2-managedinstance-applications-required

ec2-managedinstance-association-compliance-status-check

インスタンスの関連付けが実行された後、AWS Systems Manager の関連付けのコンプライアンスステータスが COMPLIANT と NON_COMPLIANT のどちらであるかを確認します。フィールドステータスが COMPLIANT の場合は、ルールに準拠しています。関連付けの詳細については、「関連付けとは何ですか?」を参照してください。 ec2-managedinstance-association-compliance-status-check

ec2-managedinstance-inventory-blacklisted

Amazon EC2 Systems Manager が管理するインスタンスが、ブラックリストに記載されたインベントリタイプを収集するように設定されているかどうかを確認します。 ec2-managedinstance-inventory-blacklisted

ec2-managedinstance-patch-compliance-status-check

インスタンスでパッチのインストールが実行された後、AWS Systems Managers のパッチコンプライアンスのコンプライアンスステータスが COMPLIANT と NON_COMPLIANT のどちらであるかを確認します。フィールドステータスが COMPLIANT の場合は、ルールに準拠しています。 ec2-managedinstance-patch-compliance-status-check

ec2-managedinstance-platform-check

EC2 マネージドインスタンスの設定が希望どおりであるかどうかを確認します。 ec2-managedinstance-platform-check

ec2-no-amazon-key-pair

Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されているかどうかを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON_COMPLIANT です。 ec2-no-amazon-key-pair

ec2-paravirtual-instance-check

EC2 インスタンスの仮想化タイプが準仮想化かどうかをチェックします。「virtualizationType」が「paravirtual」に設定されている場合、EC2 インスタンスのこのルールは NON_COMPLIANT です。 ec2-paravirtual-instance-check

ec2-resources-protected-by-backup-plan

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがバックアップ計画で保護されているかどうかを確認します。Amazon EC2 インスタンスがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 ec2-resources-protected-by-backup-plan

ec2-security-group-attached-to-eni

デフォルトではないセキュリティグループが Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。そのセキュリティグループが Elastic Network Interface (ENI) に関連付けられていない場合、ルールは NON_COMPLIANT になります。 ec2-security-group-attached-to-eni

ec2-security-group-attached-to-eni-periodic

デフォルトではないセキュリティグループが Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。そのセキュリティグループが Elastic Network Interface (ENI) に関連付けられていない場合、ルールは NON_COMPLIANT になります。 ec2-security-group-attached-to-eni-periodic

ec2-stopped-instance

許可されている日数よりも長く停止しているインスタンスがあるかどうかを確認します。ec2 インスタンスの状態が、許可されている日数より長く停止している場合、インスタンスは NON_COMPLIANT です。 ec2-stopped-instance

ec2-token-hop-limit-check

Amazon Elastic Compute Cloud (EC2) インスタンスメタデータに、希望する制限を下回る指定されたトークンホップ制限があるかどうかを確認します。ホップ制限値が意図した制限を超える場合、ルールはインスタンスに対して NON_COMPLIANT です。 ec2-token-hop-limit-check

ec2-transit-gateway-auto-vpc-attach-disabled

Amazon Elastic Compute Cloud (Amazon EC2) トランジットゲートウェイで「AutoAcceptSharedAttachments」が有効になっているかどうかを確認します。「AutoAcceptSharedAttachments」が「有効」に設定されている場合、ルールは、トランジットゲートウェイに対して NON_COMPLIANT になります。 ec2-transit-gateway-auto-vpc-attach-disabled

ec2-volume-inuse-check

EBS ボリュームが EC2 インスタンスにアタッチされているかどうかを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされるかどうかを確認します。 ec2-volume-inuse-check

ecr-private-image-scanning-enabled

プライベート Amazon Elastic Container Registry (ECR) リポジトリでイメージスキャンが有効化されているかどうかを確認します。プライベート ECR リポジトリに対してイメージスキャンが有効化されていない場合、ルールは NON_COMPLIANT になります。 ecr-private-image-scanning-enabled

ecr-private-lifecycle-policy-configured

プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されているかどうかを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON_COMPLIANT になります。 ecr-private-lifecycle-policy-configured

ecr-private-tag-immutability-enabled

プライベート Amazon Elastic Container Registry (ECR) リポジトリでタグのイミュータビリティが有効化されているかどうかを確認します。プライベート ECR リポジトリに対してタグのイミュータビリティが有効化されていない場合、ルールは NON_COMPLIANT になります。 ecr-private-tag-immutability-enabled

ecs-containers-nonprivileged

ECSTaskDefinitions のコンテナの定義内にある特権パラメータが「true」に設定されているかどうかを確認します。特権パラメータが「true」の場合、ルールは NON_COMPLIANT になります。 ecs-containers-nonprivileged

ecs-containers-readonly-access

Amazon Elastic Container Service (Amazon ECS) コンテナで、そのルートファイルシステムに対して読み取り専用アクセス権のみが設定されていることを確認します。ECSTaskDefinitions のコンテナの定義で readonlyRootFilesystem パラメータが「false」に設定されている場合、ルールは NON_COMPLIANT になります。 ecs-containers-readonly-access

ecs-no-environment-secrets

シークレットがコンテナ環境変数として渡されるかどうかを確認します。1 つ、または複数の環境変数キーが「secretKeys」パラメータにリストされているキーに一致する場合、ルールは NON_COMPLIANT になります (Amazon S3 などの他の場所からの環境変数を除く)。 ecs-no-environment-secrets

ecs-task-definition-memory-hard-limit

Amazon Elastic Container Service (ECS) のタスク定義に、そのコンテナの定義に対するメモリ制限が設定されているかどうかを確認します。1 つのコンテナの定義に「memory」パラメータが存在しない場合、タスク定義のルールは NON_COMPLIANT になります。 ecs-task-definition-memory-hard-limit

ecs-task-definition-nonroot-user

ECSTaskDefinitions が、実行先の Amazon Elastic Container Service (Amazon ECS) の EC2 起動タイプコンテナにユーザーを指定するかどうかを確認します。「user」パラメータが存在しない、または「root」に設定されている場合、ルールは NON_COMPLIANT になります。 ecs-task-definition-nonroot-user

ecs-task-definition-pid-mode-check

ECSTaskDefinitions が、ホストのプロセス名前空間をその Amazon Elastic Container Service (Amazon ECS) コンテナと共有するように設定されているかどうかを確認します。pidMode パラメータが「host」に設定されている場合、ルールは NON_COMPLIANT になります。 ecs-task-definition-pid-mode-check

ecs-task-definition-user-for-host-mode-check

ホストネットワークモードを使用する Amazon Elastic Container Service (Amazon ECS) のタスク定義に、「privileged」または「user」というコンテナ定義があるかどうかを確認します。ホストネットワークモードを使用するタスク定義と、privileged=false または空、user=root または空というコンテナ定義がある場合、ルールは NON_COMPLIANT です。 ecs-task-definition-user-for-host-mode-check

efs-access-point-enforce-root-directory

Amazon Elastic File System (Amazon EFS) アクセスポイントが、ルートディレクトリを適用するよう設定されているかどうかを確認します。「Path」の値が「'/'」(ファイルシステムのデフォルトのルートディレクトリ) に設定されている場合、ルールは NON_COMPLIANT です。 efs-access-point-enforce-root-directory

efs-access-point-enforce-user-identity

Amazon Elastic File System (Amazon EFS) アクセスポイントが、ユーザー ID を適用するよう設定されているかどうかを確認します。「PosixUser」が定義されていない場合、またはパラメータが提供され、対応するパラメータに一致するものがない場合、ルールは NON_COMPLIANT です。 efs-access-point-enforce-user-identity

efs-encrypted-check

Amazon Elastic File System (Amazon EFS) が、AWS Key Management Service (AWS KMS) を使用してファイルデータを暗号化するよう設定されているかどうかを確認します。暗号化されたキーが DescribeFileSystems で false に設定されている場合、または KmsKeyId の DescribeFileSystems キーが KmsKeyId パラメータと一致しない場合、ルールは NON_COMPLIANT です。 efs-encrypted-check

efs-in-backup-plan

Amazon Elastic File System (Amazon EFS) ファイルシステムが、AWS Backup のバックアッププランに追加されているかどうかを確認します。EFS ファイルシステムがバックアッププランに含まれていない場合、ルールは NON_COMPLIANT です。 efs-in-backup-plan

バックアップ計画によって保護された efs リソース

Amazon Elastic File System (Amazon EFS) ファイルシステムがバックアップ計画で保護されているかどうかを確認します。EFS ファイルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。バックアップ計画によって保護された efs リソース

eip-attached

AWS アカウントに割り当てられたすべての Elastic IP アドレスが、EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。 eip-attached

eks-cluster-oldest-supported-version

Amazon Elastic Kubernetes Service (EKS) クラスターが、サポートされているバージョンで最も古いものを実行しているかどうかを確認します。EKS クラスターがサポートされている最も古いバージョンを実行している場合 (パラメータ「oldestVersionSupported」に等しい)、ルールは NON_COMPLIANT になります。 eks-cluster-oldest-supported-version

eks-cluster-supported-version

Amazon Elastic Kubernetes Service (EKS) クラスターが、サポートされている Kubernetes バージョンを実行しているかどうかを確認します。サポートされていないバージョン (パラメータ「oldestVersionSupported」未満) を EKS クラスターが使用している場合、このルールは NON_COMPLIANT になります。 eks-cluster-supported-version

eks-endpoint-no-public-access

Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないかどうかを確認しますエンドポイントがパブリックである場合、ルールは NON_COMPLIANT です。 eks-endpoint-no-public-access

eks-secrets-encrypted

Amazon Elastic Kubernetes Service クラスターが、AWS Key Management Service (KMS) キーを使用して Kubernetes シークレットを暗号化するように設定されているかどうかを確認します。 eks-secrets-encrypted

elasticache-redis-cluster-automatic-backup-check

Amazon ElastiCache Redis クラスターで自動バックアップが有効になっているかどうかを確認します。Redis クラスターの SnapshotRetentionLimit がSnapshotRetentionPeriod パラメータより小さい場合、ルールは NON_COMPLIANT です。例えば、パラメータが 15 の場合、snapshotRetentionPeriod が 0 ～ 15 であれば、ルールは準拠していません。 elasticache-redis-cluster-automatic-backup-check

elasticsearch-encrypted-at-rest

Amazon OpenSearch Service (OpenSearch Service) ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。EncryptionAtRestOptions フィールドが有効でない場合、ルールは NON_COMPLIANT です。 elasticsearch-encrypted-at-rest

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private Cloud (VPC) 内にあるかどうかを確認します。OpenSearch Service ドメインのエンドポイントがパブリックである場合、ルールは NON_COMPLIANT になります。 elasticsearch-in-vpc-only

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service (OpenSearch Service) ドメインが、Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。OpenSearch Service ドメインに対してログが有効になっている場合、ルールは COMPLIANT です。ログ記録が設定されていない場合、このルールは NON_COMPLIANT です。 elasticsearch-logs-to-cloudwatch

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service ノードがエンドツーエンドで暗号化されていることを確認します。ノード間の暗号化がドメイン上で無効になっている場合、ルールは NON_COMPLIANT です。 elasticsearch-node-to-node-encryption-check

elastic-beanstalk-managed-updates-enabled

AWS Elastic Beanstalk 環境の管理されたプラットフォームの更新が有効になっているかどうかを確認します。ManagedActionsEnabled の値が true に設定されている場合、ルールは COMPLIANT です。ManagedActionsEnabled の値が false に設定されている場合、またはパラメータが指定されているもののその値が既存の設定と一致しない場合、ルールは NON_COMPLIANT です。 elastic-beanstalk-managed-updates-enabled

elbv2-acm-certificate-required

Application Load Balancer と Network Load Balancer が、AWS Certificate Manager (ACM) の証明書を使用するように設定されているリスナーを持っているかどうかを確認します。少なくとも 1 つのロードバランサーに、ACM からの証明書を使用しないよう設定されている、または ACM 証明書とは異なる証明書を使用して設定されているリスナーが少なくとも 1 つある場合、このルールは NON_COMPLIANT です。 elbv2-acm-certificate-required

elbv2-multiple-az

Elastic Load Balancer V2 (アプリケーション、ネットワーク、または Gateway Load Balancer) に複数のアベイラビリティーゾーン (AZ) のインスタンスが登録されているかどうかを確認します。Elastic Load Balancer V2 のインスタンスが 2 AZ 未満に登録されている場合、ルールは NON_COMPLIANT です。 elbv2-multiple-az

elb-acm-certificate-required

Classic Load Balancer が AWS Certificate Manager によって提供される SSL 証明書を使用しているかどうかを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 elb-acm-certificate-required

elb-cross-zone-load-balancing-enabled

クロスゾーンロードバランシングが Classic Load Balancer (CLB) に対して有効になっているかどうかを確認します。クロスゾーンロードバランシングが CLB に対して有効でない場合、このルールは NON_COMPLIANT です。 elb-cross-zone-load-balancing-enabled

elb-custom-security-policy-ssl-check

Classic Load Balancer の SSL リスナーがカスタムポリシーを使用しているかどうか確認します。このルールは、Classic Load Balancer の SSL リスナーがある場合のみ適用されます。 elb-custom-security-policy-ssl-check

elb-deletion-protection-enabled

Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。deletion_protection.enabled が false の場合、ルールは NON_COMPLIANT です。 elb-deletion-protection-enabled

elb-logging-enabled

Application Load Balancer と Classic Load Balancer でログ記録が有効になっているかどうかを確認します。access_logs.s3.enabled が false で、access_logs.S3.bucket が入力した s3BucketName と同じでない場合、ルールは NON_COMPLIANT です。 elb-logging-enabled

elb-predefined-security-policy-ssl-check

Classic Load Balancer の SSL リスナーが事前定義済みポリシーを使用しているかどうか確認します。このルールは、Classic Load Balancer の SSL リスナーがある場合のみ適用されます。 elb-predefined-security-policy-ssl-check

elb-tls-https-listeners-only

Classic Load Balancer が SSL または HTTPS リスナーで設定されているかどうかを確認します。 elb-tls-https-listeners-only

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos が有効になっていることを確認します。セキュリティ構成がクラスターにアタッチされていない場合、またはセキュリティ構成が指定されたルールパラメータを満たしていない場合、ルールは NON_COMPLIANT です。 emr-kerberos-enabled

emr-master-no-public-ip

Amazon Elastic MapReduce (EMR) クラスターのマスターノードにパブリック IP があるかどうかを確認します。マスターノードにパブリック IP がある場合、ルールは NON_COMPLIANT です。 emr-master-no-public-ip

encrypted-volumes

アタッチ状態の EBS ボリュームが暗号化されているかどうかを確認します。kmsId パラメータを使用して暗号化に KMS キーの ID を指定した場合、ルールでは、アタッチ状態の EBS ボリュームが、その KMS キーで暗号化されているかどうか確認されます。 encrypted-volumes

fms-shield-resource-policy-check

Application Load Balancer、Amazon CloudFront ディストリビューション、Elastic Load Balancing、または Elastic IP が AWS Shield で保護されているかどうかを確認します。また、Application Load Balancer と Amazon CloudFront ディストリビューションにウェブ ACL が関連付けられているかどうかも確認します。 fms-shield-resource-policy-check

fms-webacl-resource-policy-check

ウェブ ACL が、Application Load Balancer、API Gateway ステージ、または Amazon CloudFront ディストリビューションに関連付けられているかどうかを確認します。AWS Firewall Manager マネージャーがこのルールを作成すると、FMS ポリシー所有者は FMS ポリシーで WebACLId を指定し、オプションで修復を有効にできます。 fms-webacl-resource-policy-check

fms-webacl-rulegroup-association-check

ウェブ ACL に関連付けるルールグループに適切な優先順位が付けられていることを確認します。適切な優先度は、ruleGroups パラメータのルールグループのランクによって決定されます。AWS Firewall Manager ではこのルールを作成するときに、最も高い優先度 0 を割り当て、1、2 のように続けます。FMS ポリシー所有者は FMS ポリシーで ruleGroups ランクを指定し、必要に応じて修復を有効にできます。 fms-webacl-rulegroup-association-check

fsx-resources-protected-by-backup-plan

Amazon FSx ファイルシステムがバックアップ計画で保護されているかどうかを確認します。Amazon FSx ファイルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 fsx-resources-protected-by-backup-plan

guardduty-enabled-centralized

AWS アカウントとリージョンで Amazon GuardDuty が有効になっているかどうかを確認します。一元管理を目的として AWS アカウントを指定すると、ルールが一元管理されたアカウントの Amazon GuardDuty の結果を評価します。Amazon GuardDuty が有効になっている場合、ルールは COMPLIANT です。 guardduty-enabled-centralized

guardduty-non-archived-findings

Amazon GuardDuty にアーカイブされていない検出結果があるかどうかを確認します。Amazon GuardDuty に、daysLowSev/daysMediumSev/daysHighSev パラメータで指定されている値よりも古い、重要度が低/中/高のアーカイブされていない検出結果がある場合、ルールは NON_COMPLIANT です。 guardduty-non-archived-findings

iam-customer-policy-blocked-kms-actions

作成したマネージド AWS Identity and Access Management (IAM) ポリシーが、すべての AWS KMS キーでブロックされているアクションを許可していないことを確認します。AWS KMS キーでブロックされているアクションが、マネージド IAM ポリシーによって許可されている場合、ルールは NON_COMPLIANT です。 iam-customer-policy-blocked-kms-actions

iam-group-has-users-check

IAM グループに少なくとも 1 人の IAM ユーザーが存在するかどうか確認します。 iam-group-has-users-check

iam-inline-policy-blocked-kms-actions

IAM ユーザー、ロール、およびグループにアタッチされているインラインポリシーが、すべての AWS Key Management Service (KMS) キーでブロックされているアクションを許可していないことを確認します。インラインポリシーですべての KMS キーでブロックされているアクションが許可されている場合、ルールは NON_COMPLIANT です。 iam-inline-policy-blocked-kms-actions

iam-no-inline-policy-check

インラインポリシー機能が使用されていないことを確認します。AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループにインラインポリシーがある場合、ルールは NON_COMPLIANT です iam-no-inline-policy-check

iam-password-policy

IAM ユーザーのアカウントパスワードポリシーが、パラメータで指定した要件を満たしているかどうかを確認します。アカウントのパスワードポリシーが指定の要件を満たしていない場合、このルールは NON_COMPLIANT です。 iam-password-policy

iam-policy-blacklisted-check

各 IAM リソースで、入力パラメータのポリシー ARN が IAM リソースにアタッチされているかどうかを確認します。ポリシー ARN が IAM リソースにアタッチされている場合、ルールは NON_COMPLIANT です。ポリシー ARN の有無にかかわらず、IAM リソースが exceptionList パラメータの一部である場合、AWS Config はリソースを COMPLIANT としてマークします。 iam-policy-blacklisted-check

iam-policy-in-use

IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされているかどうかを確認します。 iam-policy-in-use

iam-policy-no-statements-with-admin-access

作成したポリシーで、すべてのリソースのすべてのアクションにアクセス許可を付与する Allow ステートメントを確認します。いずれかのポリシーステートメントで、"Resource": "" に対して "Action": "" が "Effect": "Allow" になっている場合、ルールは NON_COMPLIANT です。 iam-policy-no-statements-with-admin-access

iam-policy-no-statements-with-full-access

AWS Identity and Access Management (IAM) ポリシーが個々の AWS リソースに対するすべてのアクションにアクセス許可を付与しているかどうかを確認します。マネージド IAM ポリシーが少なくとも 1 つの AWS のサービスへのフルアクセスを許可している場合、ルールは NON_COMPLIANT です。 iam-policy-no-statements-with-full-access

iam-role-managed-policy-check

管理ポリシーのリストで指定されているすべての　AWS 管理ポリシーが、AWS　Identity and Access Management (IAM) ロールにアタッチされていることを確認します。IAM ロールに AWS 管理ポリシーがアタッチされていない場合、ルールは準拠していません。 iam-role-managed-policy-check

iam-root-access-key-check

ルートユーザーアクセスキーがあるかどうかを確認します。ユーザーアクセスキーが存在しない場合、ルールは COMPLIANT です。それ以外の場合は、NON_COMPLIANTです。 iam-root-access-key-check

iam-user-group-membership-check

IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認します。 iam-user-group-membership-check

iam-user-mfa-enabled

AWS Identity and Access Management ユーザーの多要素認証 (MFA) が有効になっているかどうかを確認します。 iam-user-mfa-enabled

iam-user-no-policies-check

いずれの IAM ユーザーにもポリシーがアタッチされていないことを確認します。IAM ユーザーは、IAM グループまたはロールからアクセス許可を継承する必要があります。ポリシーがアタッチされている IAM ユーザーが少なくとも 1 人いる場合、ルールは NONCOMPLIANT です。 iam-user-no-policies-check

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) ユーザーが、指定した日数以内に使用されていないパスワードまたはアクティブなアクセスキーを持っているかどうかを確認します。最近使用されていない非アクティブアカウントがある場合、ルールは NON_COMPLIANT です。 iam-user-unused-credentials-check

restricted-ssh

セキュリティグループの受信 SSH トラフィックがアクセス可能かどうかを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 以外の CIDR)、ルールは COMPLIANT です。このルールは、IPv4 のみに適用されます。 restricted-ssh

ec2-instances-in-vpc

EC2 インスタンスが Virtual Private Cloud (VPC) に属しているかどうかを確認します。オプションで、インスタンスに関連付ける VPC ID を指定できます。 ec2-instances-in-vpc

internet-gateway-authorized-vpc-only

インターネットゲートウェイ (IGW) が、承認された Amazon Virtual Private Cloud (VPC) にのみアタッチされていることを確認します。IGW が承認された VPC にアタッチされていない場合、ルールは NON_COMPLIANT です。 internet-gateway-authorized-vpc-only

kinesis-stream-encrypted

Amazon Kinesis Streams がサーバー側の暗号化を使用して保存時に暗号化されているかどうかを確認します。「StreamEncryption」が存在しない場合、ルールは Kinesis ストリームに対して NON_COMPLIANT になります。 kinesis-stream-encrypted

kms-cmk-not-scheduled-for-deletion

AWS KMS keys(KMS キー) がAWS Key Management Service(AWS KMS)で削除するようにスケジュールされていないかを確認します。KMS の()で削除するようにスケジュールされている場合、ルールは NON_COMPLIANT です。 kms-cmk-not-scheduled-for-deletion

lambda-concurrency-check

AWS Lambda 関数に関数レベルの同時実行数制限が設定されているかどうかを確認します。Lambda 関数に関数レベルの同時実行数制限が設定されていない場合、ルールは NON_COMPLIANT です。 lambda-concurrency-check

lambda-dlq-check

AWS Lambda 関数にデッドレターキューが設定されているかどうかを確認します。Lambda 関数にデッドレターキューが設定されていない場合、ルールは NON_COMPLIANT です。 lambda-dlq-check

lambda-function-public-access-prohibited

Lambda リソースにアタッチされている AWS Lambda 関数ポリシーがパブリックアクセスを禁止しているかどうかを確認します。Lambda 関数ポリシーがパブリックアクセスを許可している場合、ルールは NON_COMPLIANT です。 lambda-function-public-access-prohibited

lambda-function-settings-check

ランタイム、ロール、タイムアウト、およびメモリサイズの AWS Lambda 関数設定が、予期されている値と一致するかどうか確認します。このルールは、「Image」パッケージタイプを含む関数を無視します。 lambda-function-settings-check

lambda-inside-vpc

AWS Lambda 関数による Amazon Virtual Private Cloud へのアクセスが許可されているかどうかを確認します。Lambda 関数で VPC が有効になっていない場合、ルールは NON_COMPLIANT です。 lambda-inside-vpc

lambda-vpc-multi-az-check

Lambda に複数のアベイラビリティーゾーンが関連付けられているかどうかを確認します。Lambda に 1 つのアベイラビリティーゾーンしか関連付けられていない場合、または関連付けられているアベイラビリティーゾーンの数がオプションのパラメータで指定されている数より少ない場合、ルールは NON_COMPLIANT になります。 lambda-vpc-multi-az-check

mfa-enabled-for-iam-console-access

コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して、AWS多要素認証 (MFA) が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 mfa-enabled-for-iam-console-access

multi-region-cloudtrail-enabled

マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON_COMPLIANT です。ExcludeManagementEventSourcesフィールドが空でない場合、またはAWSCloudTrail は、AWS KMSイベントまたは Amazon RDS データ API イベントのような管理イベントを除外するように構成される場合、ルールは NON_COMPLIANT です。 multi-region-cloudtrail-enabled

nacl-no-unrestricted-ssh-rdp

ネットワークアクセスコントロールリスト (NACL) の SSH/RDP 受信トラフィックに対するデフォルトポートが制限なしかどうかを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON_COMPLIANT になります。 nacl-no-unrestricted-ssh-rdp

netfw-stateless-rule-group-not-empty

ステートレスネットワークファイアウォールのルールグループにルールが含まれているかどうかを確認します。ステートレスネットワークファイアウォールのルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 netfw-stateless-rule-group-not-empty

no-unrestricted-route-to-igw

ルートテーブルにインターネットゲートウェイ (IGW) へのパブリックルートがあるかどうかを確認します。IGW へのルートに「0.0.0.0/0」または「። /0」などの送信先 CIDR ブロックがある場合、または送信先 CIDR ブロックがルールパラメータと一致しない場合、ルールは NON_COMPLIANT です。 no-unrestricted-route-to-igw

opensearch-access-control-enabled

きめ細かなアクセスコントロールが Amazon OpenSearch Service ドメインに設定されているかどうかをチェックします。AdvancedSecurityOptions が OpenSearch Service ドメインに対して有効になっていない場合、ルールは NON_COMPLIANT です。 opensearch-access-control-enabled

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログが有効になっているかどうかを確認します。OpenSearch Service ドメインで監査ログが有効になっていない場合、ルールは NON_COMPLIANT です。 opensearch-audit-logging-enabled

opensearch-data-node-fault-tolerance

Amazon OpenSearch Serviceのドメインが少なくとも 3 つのデータノードで構成され、zoneAwarenessEnabled が true であるかどうかをチェックします。'instanceCount' が 3 より小さい場合、または 'zoneAwarenessEnabled' が 'false' に設定されている場合、OpenSearch ドメインのルールは NON_COMPLIANT です。 opensearch-data-node-fault-tolerance

opensearch-encrypted-at-rest

Amazon OpenSearch Service ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。EncryptionAtRestOptions フィールドが有効でない場合、ルールは NON_COMPLIANT です。 opensearch-encrypted-at-rest

opensearch-https-required

OpenSearch ドメインへの接続が HTTPS を使用しているかどうかをチェックします。Amazon OpenSearch ドメイン 'EnforceHTTPS' が 'true' でない場合、または 'true' であって 'TLSSecurityPolicy' が 'tlsPolicies' でない場合、ルールは NON_COMPLIANT です。 opensearch-https-required

opensearch-in-vpc-only

Amazon OpenSearch Service ドメインが Amazon Virtual Private Cloud (VPC) 内にあるかどうかを確認します。OpenSearch Service ドメインのエンドポイントがパブリックである場合、ルールは NON_COMPLIANT になります。 opensearch-in-vpc-only

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service ドメインが、Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。ログ記録が設定されていない場合、ルールは NON_COMPLIANT です。 opensearch-logs-to-cloudwatch

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service ノードがエンドツーエンドで暗号化されていることを確認します。ノード間の暗号化がドメイン上で有効になっていない場合、ルールは NON_COMPLIANT です。 opensearch-node-to-node-encryption-check

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) データベースインスタンスが、自動マイナーバージョンアップグレードに設定されているかどうかを確認します。「autoMinorVersionUpgrade」の値が false の場合、ルールは NON_COMPLIANT です。 rds-automatic-minor-version-upgrade-enabled

rds-cluster-default-admin-check

Amazon Relational Database Service (Amazon RDS) データベースクラスターが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。管理者ユーザーネームがデフォルト値に設定されている場合、ルールは NON_COMPLIANT になります。 rds-cluster-default-admin-check

rds-cluster-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) クラスターで削除保護が有効になっているかどうかを確認します。RDS クラスターで削除保護が有効になっていない場合、ルールは NON_COMPLIANT です。 rds-cluster-deletion-protection-enabled

rds-cluster-iam-authentication-enabled

Amazon RDS クラスターで AWS Identity and Access Management (IAM) 認証が有効になっているかどうかを確認します。RDS クラスターで IAM 認証が有効になっていない場合、ルールは NON_COMPLIANT です。 rds-cluster-iam-authentication-enabled

rds-cluster-multi-az-enabled

Amazon Relational Database Service (Amazon RDS) によって管理される Amazon Aurora および Hermes クラスターで、マルチ AZ レプリケーションが有効になっているかどうかを確認します。Amazon RDS インスタンスがマルチ AZ を使用して設定されていない場合、ルールは NON_COMPLIANT です。 rds-cluster-multi-az-enabled

rds-db-security-group-not-allowed

デフォルトの DB セキュリティグループではない Amazon Relational Database Service (RDS) DB セキュリティグループが存在するかどうかを確認します。デフォルトの DB セキュリティグループではない DB セキュリティグループが存在する場合、ルールは NON_COMPLIANT になります。 rds-db-security-group-not-allowed

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスに対して拡張モニタリングが有効になっているかどうかを確認します。 rds-enhanced-monitoring-enabled

rds-instance-default-admin-check

Amazon Relational Database Service (Amazon RDS) データベースが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。このルールが実行されるのは RDS データベースインスタンスのみです。管理者ユーザーネームがデフォルト値に設定されている場合、ルールは NON_COMPLIANT になります。 rds-instance-default-admin-check

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで削除保護が有効になっているかどうかを確認します。Amazon RDS インスタンスで削除保護が有効になっていない場合、つまり deletionProtection が false に設定されている場合、このルールは NON_COMPLIANT です。 rds-instance-deletion-protection-enabled

rds-instance-iam-authentication-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで AWS Identity and Access Management (IAM) 認証が有効になっているかどうかを確認します。Amazon RDS インスタンスで AWS IAM 認証が有効になっていない場合、つまり、configuration.iAMDatabaseAuthenticationEnabled が false に設定されている場合、このルールは NON_COMPLIANT です。 rds-instance-iam-authentication-enabled

rds-instance-public-access-check

Amazon Relational Database Service インスタンスがパブリックアクセス可能になっていないかどうかを確認しますインスタンスの設定項目で publiclyAccessible フィールドが true の場合、ルールは NON_COMPLIANT です。 rds-instance-public-access-check

rds-in-backup-plan

Amazon RDS データベースが AWS Backup のバックアッププランに存在しているかどうかを確認します。Amazon RDS データベースがどの AWS Backup のバックアッププランにも存在していない場合、ルールは NON_COMPLIANT です。 rds-in-backup-plan

rds-logging-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスの Amazon CloudWatch にエクスポートされたログタイプが有効になっているかどうかを確認します。このログタイプが有効でない場合、ルールは NON_COMPLIANT です。 rds-logging-enabled

rds-multi-az-support

RDS DB インスタンスの高可用性が有効になっているかどうかを確認します。 rds-multi-az-support

rds-resources-protected-by-backup-plan

Amazon Relational Database Service (Amazon RDS) インスタンスがバックアップ計画で保護されているかどうかを確認します。Amazon RDS データベースインスタンスがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 rds-resources-protected-by-backup-plan

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) スナップショットがパブリックかどうかを確認します。既存および新規の Amazon RDS スナップショットがパブリックである場合、ルールは NON_COMPLIANT です。 rds-snapshots-public-prohibited

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) DB スナップショットが暗号化されているかどうかを確認します。Amazon RDS DB スナップショットが暗号化されていない場合、ルールは NON_COMPLIANT です。 rds-snapshot-encrypted

rds-storage-encrypted

RDS DB インスタンスに対してストレージの暗号化が有効になっているかどうかを確認します。 rds-storage-encrypted

redshift-backup-enabled

Amazon Redshift 自動スナップショットがクラスターに対して有効になっていることを確認します。automatedSnapshotRetentionPeriod の値が MaxRetentionPeriod より大きいか MinRetentionPeriod より小さい場合、または値が 0 の場合、ルールは NON_COMPLIANT です。 redshift-backup-enabled

redshift-cluster-configuration-check

Amazon Redshift クラスターに指定された設定があるかどうか確認します。 redshift-cluster-configuration-check

redshift-cluster-kms-enabled

Amazon Redshift クラスターが指定された AWS Key Management Service (AWS KMS) キーを使用して暗号化されているかどうかを確認します。暗号化が有効になっていて、クラスターが kmsKeyArn パラメータで指定されたキーで暗号化されている場合、ルールは COMPLIANT です。クラスターが暗号化されていない場合、または別のキーで暗号化されている場合、ルールは NON_COMPLIANT です。 redshift-cluster-kms-enabled

redshift-cluster-maintenancesettings-check

Amazon Redshift クラスターに、指定されたメンテナンス設定があるかどうか確認します。 redshift-cluster-maintenancesettings-check

redshift-cluster-public-access-check

Amazon Redshift クラスターがパブリックアクセス可能になっていないかどうかを確認します。クラスターの設定項目で publiclyAccessible フィールドが true の場合、ルールは NON_COMPLIANT です。 redshift-cluster-public-access-check

redshift-default-admin-check

Amazon Redshift クラスターが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。Redshift クラスターの管理ユーザーネームが「awsuser」に設定されている、またはユーザーネームがパラメータにリストされているものと一致しない場合、ルールは NON_COMPLIANT になります。 redshift-default-admin-check

redshift-default-db-name-check

Redshift クラスターがデータベース名をそのデフォルト値から変更したかどうかを確認します。Redshift クラスターのデータベース名が「dev」に設定されている場合、またはオプションのパラメータが指定されているのにデータベース名が一致しない場合、ルールは NON_COMPLIANT です。 redshift-default-db-name-check

redshift-enhanced-vpc-routing-enabled

Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっているかどうかを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON_COMPLIANT です。 redshift-enhanced-vpc-routing-enabled

redshift-require-tls-ssl

Amazon Redshift クラスターで SQL クライアントに接続するための TLS/SSL 暗号化が必要であるかどうかを確認します。Amazon Redshift クラスターでパラメータの require_SSL が true に設定されていない場合、ルールは NON_COMPLIANT です。 redshift-require-tls-ssl

required-tags

指定したタグがリソースにあるかどうかを確認します。例えば、Amazon EC2 インスタンスに CostCenter タグがあるかどうかを確認できます。複数の値はカンマで区切ります。一度に確認できるタグは 6 つまでです。 required-tags

restricted-common-ports

使用中のセキュリティグループが、指定されたポートへの制限されていない受信 TCP トラフィックを不許可にしているかどうかを確認します。受信 TCP 接続の IP アドレスが指定されたポートに制限されている場合、このルールは COMPLIANT です。このルールは、IPv4 のみに適用されます。 restricted-common-ports

root-account-hardware-mfa-enabled

AWS アカウントが、多要素認証 (MFA) ハードウェアデバイスを使用して、ルート認証情報でサインインできるようになっているかどうかを確認します。このルールは、ルート認証情報でサインインすることが許可されている仮想 MFA デバイスがあれば NON_COMPLIANT です。 root-account-hardware-mfa-enabled

root-account-mfa-enabled

AWS アカウントのルートユーザーが多要素認証を使用してコンソールにサインインする必要があるかどうかを確認します。 root-account-mfa-enabled

s3-account-level-public-access-blocks

必要なパブリックアクセスブロック設定がアカウントレベルから設定されているかどうかを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON_COMPLIANT のみです。 s3-account-level-public-access-blocks

s3-account-level-public-access-blocks-periodic

必要なパブリックアクセスのブロック設定がアカウントレベルから設定されているかどうかを確認します。 s3-account-level-public-access-blocks-periodic

s3-bucket-acl-prohibited

Amazon Simple Storage Service (Amazon S3) バケットが、アクセスコントロールリスト (ACL) 経由でのユーザー許可を許容するかどうかを確認します。Amazon S3 バケットでのユーザーアクセスに ACL が設定されている場合、ルールは NON_COMPLIANT になります。 s3-bucket-acl-prohibited

s3-bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service バケットポリシーが、ブラックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションを、バケット内のリソースで他の AWS アカウントのプリンシパルに対して実行することを許可していないことを確認します。例えば、このルールでは、Amazon S3 バケットポリシーが、別の AWS アカウントのバケット内のオブジェクトで s3:GetBucket* アクションと s3:DeleteObject のいずれの実行も許可していないことを確認します。ブラックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON_COMPLIANT です。 s3-bucket-blacklisted-actions-prohibited

s3-bucket-default-lock-enabled

Amazon S3 バケットのロックがデフォルトで有効になっているかどうかを確認します。ロックが有効でない場合、ルールは NON_COMPLIANT です。 s3-bucket-default-lock-enabled

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットがパブリックアクセス可能かどうかを確認します。Amazon S3 バケットが excludedPublicBuckets パラメータとバケットレベルの設定にリストされていない場合、このルールは NON_COMPLIANT です。 s3-bucket-level-public-access-prohibited

s3-bucket-logging-enabled

S3 バケットに対してログ記録が有効になっているかどうか確認します。 s3-bucket-logging-enabled

s3-bucket-policy-grantee-check

Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または VPC によって制限されていることを確認します。バケットポリシーが存在しない場合、ルールは COMPLIANT です。 s3-bucket-policy-grantee-check

s3-bucket-policy-not-more-permissive

Amazon Simple Storage Service バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 s3-bucket-policy-not-more-permissive

s3-bucket-public-read-prohibited

Amazon S3 バケットでパブリック読み取りアクセスが許可されていないかどうかを確認します。このルールは、パブリックアクセスのブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。 s3-bucket-public-read-prohibited

s3-bucket-public-write-prohibited

Amazon S3 バケットでパブリック書き込みアクセスが許可されていないかどうかを確認します。このルールは、パブリックアクセスのブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。 s3-bucket-public-write-prohibited

s3-bucket-replication-enabled

Amazon S3 バケットでクロスリージョンレプリケーションが有効になっているかどうかを確認します。 s3-bucket-replication-enabled

s3-bucket-server-side-encryption-enabled

Amazon S3 バケットで S3 のデフォルトの暗号化が有効になっていること、または S3 バケットポリシーが AES-256 または put-object を使用するサーバー側の暗号化を使用していない AWS Key Management Service リクエストを明示的に拒否することを確認します。Amazon S3 バケットが、デフォルトで暗号化されていない場合、ルールは NON_COMPLIANT です。 s3-bucket-server-side-encryption-enabled

s3-bucket-ssl-requests-only

Amazon S3 バケットに、Secure Socket Layer (SSL) を使用するリクエストを要求するポリシーがあるかどうか確認します。HTTP リクエストへのアクセスを明示的に拒否する場合、ルールは COMPLIANT です。バケットポリシーが HTTP リクエストを許可している場合、ルールは NON_COMPLIANT です。 s3-bucket-ssl-requests-only

s3-bucket-versioning-enabled

S3 バケットに対してバージョニングが有効になっているかどうかを確認します。オプションで、S3 バケットに対して MFA 削除が有効になっているかどうかを確認します。 s3-bucket-versioning-enabled

s3-default-encryption-kms

Amazon S3 バケットが AWS Key Management Service (AWS KMS) で暗号化されているかどうかを確認します。Amazon S3 バケットが AWS KMS キーで暗号化されていない場合、ルールは NON_COMPLIANT です。 s3-default-encryption-kms

s3-event-notifications-enabled

S3 バケットで Amazon S3 イベント通知が有効になっているかどうかを確認します。S3 イベント通知がバケットに設定されていない場合、またはイベントタイプまたは宛先が eventTypes および destinationArn パラメータと一致しない場合、ルールは NON_COMPLIANT になります。 s3-event-notifications-enabled

s3-version-lifecycle-policy-check

Amazon Simple Storage Service (Amazon S3) のバージョニングが有効化されたバケットにライフサイクルポリシーが設定されているかどうかを確認します。Amazon S3 ライフサイクルポリシーが有効化されていない場合、ルールは NON_COMPLIANT になります。 s3-version-lifecycle-policy-check

sagemaker-endpoint-configuration-kms-key-configured

Amazon SageMaker エンドポイント設定に対して AWS Key Management Service (KMS) キーが設定されているかどうかを確認します。Amazon SageMaker エンドポイントの設定に対して 'KmsKeyId' が指定されていない場合、ルールは NON_COMPLIANT です。 sagemaker-endpoint-configuration-kms-key-configured

sagemaker-notebook-instance-kms-key-configured

Amazon SageMaker ノートブックインスタンスに対して AWS Key Management Service (KMS) キーが設定されているかどうかを確認します。Amazon SageMaker ノートブックインスタンスに対して 'KmsKeyId' が指定されていない場合、ルールは NON_COMPLIANT です。 sagemaker-notebook-instance-kms-key-configured

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックインスタンスで直接インターネットアクセスが無効になっているかどうかを確認します。Amazon SageMaker ノートブックインスタンスがインターネット対応の場合、ルールは NON_COMPLIANT です。 sagemaker-notebook-no-direct-internet-access

secretsmanager-rotation-enabled-check

AWS Secrets Manager のシークレットでローテーションが有効になっているかどうかを確認します。このルールでは、オプションの maximumAllowedRotationFrequency パラメータも確認されます。パラメータが指定されている場合、シークレットのローテーション頻度が最大許容頻度と比較されます。シークレットのローテーションがスケジュールされていない場合、ルールは NON_COMPLIANT です。ローテーション頻度が maximumAllowedRotationFrequency パラメータで指定された数よりも高い場合も、ルールは NON_COMPLIANT になります。 secretsmanager-rotation-enabled-check

secretsmanager-scheduled-rotation-success-check

AWS Secrets Manager のシークレットのローテーションが、ローテーションスケジュールに従って正常にトリガー/開始されたかどうかを確認します。RotationOccurringAsScheduled が false の場合、ルールは NON_COMPLIANT です。 secretsmanager-scheduled-rotation-success-check

secretsmanager-secret-periodic-rotation

AWS Secrets Manager のシークレットが過去に指定された日数でローテーションされているかどうかを確認します。シークレットが「maxDaysSinceRotation」の日数を超えてもローテーションされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。 secretsmanager-secret-periodic-rotation

secretsmanager-secret-unused

AWS Secrets Manager のシークレットが、指定された日数以内にアクセスされているかどうかを確認します。シークレットが 'unusedForDays' の日数以内にアクセスされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。 secretsmanager-secret-unused

secretsmanager-using-cmk

AWS Secrets Managerのすべてのシークレットを — AWS マネージドキー (aws/secretsmanager)、または AWS Key Management Service(AWS KMS)で作成したカスタマーマネージド型キーを使用して、暗号化しているかどうかを確認します。シークレットが、カスタマーマネージド型キーを使用して暗号化されている場合、このルールは COMPLIANT です。シークレットが aws/secretsmanager を使用して暗号化されている場合、このルールは COMPLIANT です。 secretsmanager-using-cmk

securityhub-enabled

AWS アカウントに対して AWS Security Hub が有効になっていることを確認します。AWS Security Hub が有効でない場合、ルールは NON_COMPLIANT です。 securityhub-enabled

service-vpc-endpoint-enabled

ルールパラメータで指定されたサービスのサービスエンドポイントが Amazon VPC ごとに作成されるかどうかを確認します。サービス用に作成された VPC エンドポイントが Amazon VPC にない場合、ルールは NON_COMPLIANT を返します。 service-vpc-endpoint-enabled

shield-advanced-enabled-autorenew

AWS アカウントで AWS Shield Advanced が有効になっていて、サブスクリプションが自動的に更新されるように設定されているかどうかを確認します。 shield-advanced-enabled-autorenew

shield-drt-access

Shield レスポンスチーム (SRT) がお使いの AWS アカウントにアクセスできるかどうかを確認します。AWS Shield Advanced が有効になっていても SRT アクセスのロールが設定されていない場合、ルールは NON_COMPLIANT です。 shield-drt-access

Amazon SNS トピックが AWS Key Management Service (AWS KMS) で暗号化されているかどうかを確認します。Amazon SNS トピックが AWS KMS で暗号化されていない場合、ルールは NON_COMPLIANT です。暗号化された KMS キーが kmsKeyIds 入力パラメータに存在しない場合も、ルールは NON_COMPLIANT です。 sns-encrypted-kms

エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっているかどうかを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON_COMPLIANT です。 sns-topic-message-delivery-notification-enabled

ssm-document-not-public

アカウントが所有する AWS Systems Manager ドキュメントがパブリックであるかどうかを確認します。所有者が「Self」になっている SSM ドキュメントがパブリックである場合、このルールは NON_COMPLIANT です。 ssm-document-not-public

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが割り当てられているかどうかを確認します。Amazon VPC にパブリック IP アドレスが割り当てられているサブネットがない場合、ルールは COMPLIANT です。Amazon VPC にパブリック IP アドレスが割り当てられているサブネットがある場合、ルールは NON_COMPLIANT です。 subnet-auto-assign-public-ip-disabled

virtualmachine-resources-protected-by-backup-plan

AWS Backup-Gateway VirtualMachines が、バックアップ計画で保護されているかどうかをチェックします。Backup-Gateway VirtualMachine がバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 virtualmachine-resources-protected-by-backup-plan

vpc-default-security-group-closed

Amazon Virtual Private Cloud (VPC) のデフォルトのセキュリティグループで、インバウンドとアウトバウンドのいずれのトラフィックも許可されていないことを確認します。セキュリティグループがデフォルトでない場合、ルールは NOT_APPLICABLE を返します。デフォルトのセキュリティグループに 1 つ以上のインバウンドトラフィックまたはアウトバウンドトラフィックがある場合、ルールは NON_COMPLIANT です。 vpc-default-security-group-closed

vpc-flow-logs-enabled

Amazon Virtual Private Cloud フローログが見つかったかどうか、および Amazon VPC に対して有効になっているかどうかを確認します。 vpc-flow-logs-enabled

vpc-network-acl-unused-check

未使用のネットワークアクセスコントロールリスト (ネットワーク ACL) があるかどうかを確認します。各ネットワーク ACL がサブネットに関連付けられている場合、ルールは COMPLIANT です。ネットワーク ACL がサブネットに関連付けられていない場合、ルールは NON_COMPLIANT です。 vpc-network-acl-unused-check

vpc-sg-open-only-to-authorized-ports

インバウンド 0.0.0.0/0 のセキュリティグループに TCP または UDP ポートでアクセス可能かどうかを確認します。インバウンド 0.0.0.0/0 のセキュリティグループにアクセス可能なポートがあり、これがルールパラメータで指定されていない場合、ルールは NON_COMPLIANT です。 vpc-sg-open-only-to-authorized-ports

vpc-vpn-2-tunnels-up

AWS Site-to-Site VPN が提供する両方の VPN トンネルが UP ステータスであることを確認します。1 つまたは両方のトンネルのステータスが DOWN の場合、ルールは NON_COMPLIANT を返します。 vpc-vpn-2-tunnels-up

wafv2-logging-enabled

AWS ウェブアプリケーションファイアウォール (WAFV2) のリージョンおよびグローバルウェブアクセスコントロールリスト (ACL) でログ記録が有効になっているかどうかを確認します。ログ記録が有効になっていても、ログ記録の送信先がパラメータの値と一致しない場合、ルールは NON_COMPLIANT です。 wafv2-logging-enabled

waf-classic-logging-enabled

AWS ウェブアプリケーションファイアウォール (WAF) の従来のグローバルウェブ ACL でログ記録が有効になっているかどうかを確認します。ログ記録が有効になっていない場合、このルールはグローバルウェブ ACL に対して NON_COMPLIANT です。 waf-classic-logging-enabled

waf-global-rulegroup-not-empty

AWS WAF Classic ルールグループに任意のルールが含まれているかどうかをチェックします。ルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 waf-global-rulegroup-not-empty

waf-global-rule-not-empty

AWS WAF グローバルルールに任意の条件が含まれているかどうかをチェックします。WAF グローバルルール内に条件がない場合、ルールは NON_COMPLIANT です。 waf-global-rule-not-empty

waf-global-webacl-not-empty

WAF のグローバルウェブ ACL に WAF ルールまたはルールグループが含まれているかどうかを確認します。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、ルールは NON_COMPLIANT になります。 waf-global-webacl-not-empty

目次

とある日

AWS Configマネージドルール一覧

トピック

access-keys-rotated

account-part-of-organizations

acm-certificate-expiration-check

alb-http-drop-invalid-header-enabled

alb-http-to-https-redirection-check

alb-waf-enabled

api-gw-associated-with-waf

api-gw-cache-enabled-and-encrypted

api-gw-endpoint-type-check

api-gw-execution-logging-enabled

api-gw-ssl-enabled

api-gw-xray-enabled

approved-amis-by-id

approved-amis-by-tag

aurora-mysql-backtracking-enabled

バックアップ計画によって保護された Aurora リソース

autoscaling-group-elb-healthcheck-required

autoscaling-launch-config-public-ip-disabled

autoscaling-multiple-az

バックアップ計画-分-頻度と分保持チェック

バックアップ/リカバリポイント暗号化

バックアップ/リカバリポイントの手動削除/無効化

バックアップ/リカバリポイントの最小保存期間チェック

beanstalk-enhanced-health-reporting-enabled

clb-multiple-az

cloudformation-stack-drift-detection-check

cloudformation-stack-notification-check

cloudfront-accesslogs-enabled

cloudfront-associated-with-waf

cloudfront-custom-ssl-certificate

cloudfront-default-root-object-configured

cloudfront-no-deprecated-ssl-protocols

cloudfront-origin-access-identity-enabled

cloudfront-origin-failover-enabled

cloudfront-sni-enabled

loudfront-traffic-to-origin-encrypted

cloudfront-viewer-policy-https

cloudtrail-s3-dataevents-enabled

cloudtrail-security-trail-enabled

cloudwatch-alarm-action-check

cloudwatch-alarm-action-enabled-check

cloudwatch-alarm-resource-check

cloudwatch-alarm-settings-check

cloudwatch-log-group-encrypted

cloud-trail-cloud-watch-logs-enabled

cloudtrail-enabled

cloud-trail-encryption-enabled

cloud-trail-log-file-validation-enabled

cmk-backing-key-rotation-enabled

codebuild-project-artifact-encryption

codebuild-project-environment-privileged-check

codebuild-project-envvar-awscred-check

codebuild-project-logging-enabled

codebuild-project-s3-logs-encrypted

codebuild-project-source-repo-url-check

codedeploy-auto-rollback-monitor-enabled

codedeploy-ec2-minimum-healthy-hosts-configured

codedeploy-lambda-allatonce-traffic-shift-disabled

codepipeline-deployment-count-check

codepipeline-region-fanout-check

cw-loggroup-retention-period-check

dax-encryption-enabled

db-instance-backup-enabled

desired-instance-tenancy

desired-instance-type

dms-replication-not-public

dynamodb-autoscaling-enabled

dynamodb-in-backup-plan

dynamodb-pitr-enabled

DynamoDB-バックアップ計画によって保護されるリソース

dynamodb-table-encrypted-kms

dynamodb-table-encryption-enabled

dynamodb-throughput-limit-check

ebs-in-backup-plan

ebs-optimized-instance

バックアップ計画によって保護された EBS リソース