Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Guard を利用した AWS Config ルール
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yhana
June 12, 2024
Technology
1.2k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Guard を利用した AWS Config ルール
yhana
June 12, 2024
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
30
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
組織的なクラウド統制のはじめの一歩_20240529
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
組織的なクラウド統制のはじめの一歩
yhana
0
2.4k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
Deep Data Security 機能解説
oracle4engineer
PRO
2
230
脱SaaS!FDEを支えるプロビジョニングと分離設計
knih
0
300
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
270
#エンジニアBooks 30分でわかる 「技術記事を書く技術」 / engineer-books 2026-06-30
jnchito
1
120
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
miichan
0
150
Agile and AI Redmine Japan 2026
hiranabe
4
500
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
190
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
180
OTel × Datadog で 「AI活用」を計測し、改善に繋げる
shihochan
2
1k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
BPaaSで進むAIオペレーションの現在地 AI実装が効く領域とスケーラビリティの選定と実装
kentarofujii
0
210
2026 AI Memory Architecture
nagatsu
0
540
Featured
See All Featured
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
190
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
470
First, design no harm
axbom
PRO
2
1.2k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.3k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
980
Bash Introduction
62gerente
615
220k
Paper Plane (Part 1)
katiecoart
PRO
0
9.3k
It's Worth the Effort
3n
188
29k
Between Models and Reality
mayunak
4
350
The browser strikes back
jonoalderson
0
1.3k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
2
250
Transcript
Guard を利⽤した AWS Config ルール 1 2024.6.12 yhana
• AWS Config ルールの概要 • Guard で作成する AWS Config ルール
• Guard の評価ルール作成の役⽴ち情報 2 今⽇話すこと
3 AWS Config ルール
4 AWS Config サービスの⼀機能であり、 AWS リソースの設定が指定したルールに準拠しているかどうかを確認できる AWS Config ルールの概要
5 AWS が提供している Config ルールの例 AWS Security Hub の裏では Config
ルールが利⽤されている AWS Config ルールの概要 ルール名 ルールの確認内容 iam-user-mfa-enable IAM ユーザーの MFA が設定されているか vpc-flow-logs-enabled VPC フローログが有効化されているか ec2-ebs-encryption-by-default EBS 暗号化がデフォルトで有効になっているか cloudtrail-enabled AWS CloudTrail 証跡が有効になっているか
6 AWS Config ルールの種類 AWS Config ルールの概要 種別 評価ルールの作成⼿段 補⾜説明
マネージドルール AWS による管理 マネージドルールのリスト カスタムルール AWS Lambda 最も柔軟な評価が可能 AWS CloudFormation Guard ドメイン固有⾔語(Domain Specific Language) 今⽇の話
7 Guard で作成する AWS Config ルール
8 AWS CloudFormation Guard はオープンソースの ドメイン固有⾔語 (DSL : Domain Specific
Language) と CLI AWS CloudFormation Guard という名前の通り、 CloudFormation テンプレートのポリシーのチェックに利⽤可能 2022 年 8 ⽉に Config ルールが Guard に対応 AWS CloudFormation Guard を使⽤した AWS Config ルールの作成 AWS CloudFormation Guard の概要
9 AWS Lambda より簡易な記載で評価ルールの作成が可能 VPC が「デフォルト VPC でないこと」を確認する評価ルール デフォルト VPC
であることを⽰すパラメータが false であることを確認 「no_default_vpc」はルール名であり、任意の命名が可能 AWS CloudFormation Guard の概要 rule no_default_vpc { configuration.isDefault == false }
10 AWS Config レコーダーで取得している設定情報を評価する AWS CloudFormation Guard の概要 AWS Config
が取得している VPC の設定情報 rule no_default_vpc { configuration.isDefault == false } 評価が True (is.Default == false) であれば、準拠 評価が False (is.Default != false) であれば、⾮準拠
11 評価ルールを直接指定 2024.6.10 時点では ランタイムバージョンは単⼀ デバッグログの有効化により 評価詳細を CloudWatch Logs に出⼒
Guard を利⽤した Config ルール作成の設定画⾯
12 「変更範囲」の設定から 対象リソースを指定 VPC だけ確認するために 「AWS EC2 VPC」を選択 Guard を利⽤した
Config ルール作成の設定画⾯
13 評価結果と CloudWatch Logs に出⼒されるログ AWS CloudFormation Guard の概要 ConfigRuleId:
config-rule-g54mba, ResourceType: AWS::EC2::VPC, ResourceId: vpc-08fb9b456e5d5ede6 { "not_compliant": { "no_default_vpc": [ { "rule": "no_default_vpc", "path": "/configuration/isDefault", "provided": true, "expected": false, "comparison": { "operator": "Eq", "not_operator_exists": false }, "message": "" } ] }, "not_applicable": [], "compliant": [] } ConfigRuleId: config-rule-g54mba, ResourceType: AWS::EC2::VPC, ResourceId: vpc-0adcdeb95ec11d011 { "not_compliant": {}, "not_applicable": [], "compliant": [ "no_default_vpc" ] }
14 評価ルールの例
15 複数の条件を組み合わせる例 「デフォルト VPC ではない」かつ「Internet Gateway 割り当てなし」で準拠 評価ルールの例 - 1
rule vpc_check { configuration.isDefault == false relationships[*].resourceType != "AWS::EC2::InternetGateway" }
16 複数の条件を組み合わせる例 「デフォルト VPC ではない」かつ「Internet Gateway 割り当てなし」で準拠 評価ルールの例 - 1
rule vpc_check { configuration.isDefault == false relationships[*].resourceType != "AWS::EC2::InternetGateway" } 複数のルールブロックを記載した場合は暗黙の AND 評価で最終的な評価が決定
17 複数の条件を組み合わせる場合の評価 評価ルールの例 - 1 check-1 check-2 check-1 and check-2
(暗黙の AND 評価) rule check-1 rule check-2 when check-1 もし check-1 が「true」なら check2 (check-1 を再利⽤) check-1 or check-2 check-1 or check-2 (OR 評価は明⽰的に記載)
18 評価ルールの例 - 1 rule vpc_check { configuration.isDefault == false
relationships[*].resourceType != "AWS::EC2::InternetGateway" } AWS::EC2::InternetGateway 評価 AWS::EC2::InternetGateway 評価 AWS::EC2::InternetGateway 評価 AWS::EC2::InternetGateway 評価 AWS::EC2::InternetGateway 評価 配列の評価のイメージ
19 名前が prd から始まる S3 バケットのバージョニングが有効か確認したい場合 上記の記載でも評価はできるが、prd から始まらないバケットも表⽰される 評価ルールの例 -
2 rule s3_check { resourceId == /^prd-.*$/ supplementaryConfiguration.BucketVersioningConfiguration.status == "Enabled" }
20 ちょっとしたテクニックとして、 マネジメントコンソールに表⽰される評価結果のリソースを絞る例 評価ルールの例 - 2 let resource_name = resourceId
rule s3_check when %resource_name == /^prd-.*$/ { supplementaryConfiguration.BucketVersioningConfiguration.status == "Enabled" }
21 評価結果には PASS/FAIL の他に SKIP が存在 評価結果が SKIP のリソースはマネジメントコンソール上では表⽰されない 名前が
prd から始まらないバケットの評価イメージ 評価ルールの例 - 2 let resource_name = resourceId rule s3_check when %resource_name == /^prd-.*$/ { supplementaryConfiguration.BucketVersioningConfiguration.status == "Enabled" } バケット名が prd から始まらない場合に評価結果は SKIP となり、 マネジメントコンソールの評価結果には表⽰されない
22 評価結果には PASS/FAIL の他に SKIP が存在 評価結果が SKIP のリソースはマネジメントコンソールに表⽰されない 名前が
prd から始まるバケットの評価イメージ 評価ルールの例 - 2 let resource_name = resourceId rule s3_check when %resource_name == /^prd-.*$/ { supplementaryConfiguration.BucketVersioningConfiguration.status == "Enabled" } バケット名が prd から始まる場合はルールブロック内が評価され、 PASS/FAIL のいずれかの評価でマネジメントコンソールに表⽰される
23 Guard の評価ルール作成の役⽴ち情報
24 Guard の⽂法に関するドキュメント GitHub cloudformation-guard/docs at main · aws-cloudformation/cloudformation-guard AWSユーザーガイド
Getting started with AWS CloudFormation Guard - AWS CloudFormation Guard AWS Config の設定情報のスキーマ GitHub aws-config-resource-schema/config/properties/resource-types at master · awslabs/aws- config-resource-schema 評価ルールを作成する際に役⽴つ資料
25 VPC リソースのスキーマ 評価ルールを作成する際に役⽴つ資料 aws-config-resource-schema/config/properties/resource-types/AWS::EC2::VPC.properties.json at master · awslabs/aws- config-resource-schema
26 サンプルプログラム(CloudFormation テンプレートが対象) GitHub cloudformation-guard/guard-examples at main · aws-cloudformation/cloudformation-guard 評価ルールを作成する際に役⽴つ資料
27 ローカルで単位テストが可能(AWS CloudFormation Guard の単体テスト機能を試してみた) 単体テストに必要なもの #1 : Guard ルールのファイル
#2 : 単体テストのファイル ローカル環境のテスト rule no_default_vpc { configuration.isDefault == false } --- - name: MyTest input: expectations: rules: no_default_vpc: FAIL #1 check_default_vpc.guard #2 check_default_vpc_test.yaml AWS Config の設定情報を記載(または転記)
28 期待は⾮準拠、結果も⾮準拠のテスト結果 期待は準拠、結果は⾮準拠のテスト結果 ローカル環境のテスト $ cfn-guard test --rules-file check_default_vpc.guard --test-data
check_default_vpc_test.yaml Test Case #1 Name: "MyTest" PASS Rules: no_default_vpc: Expected = FAIL % cfn-guard test --rules-file check_default_vpc.guard --test-data check_default_vpc_test.yaml Test Case #1 Name: "MyTest" FAIL Rules: no_default_vpc: Expected = PASS, Evaluated = [FAIL]
29 さいごに
30 Guard を利⽤した Config ルールの簡単な例と関連情報を紹介 まずは Security Hub や AWS
管理のマネージドルールの利⽤を推奨 1. Security Hub で実現できるか 2. マネージドルールで実現できるか 3. カスタムルール(Guard)で実現できるか 4. カスタムルール(Lambda)で実現 Guard が適さない例 - AWS Config レコーダーが対応していないリソース - 複雑な処理が必要な評価 さいごに
31