APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > AWS > 【AWS Config 】ルール違反リソースの自動修正を設定してみた

【AWS Config 】ルール違反リソースの自動修正を設定してみた

AWS
< techblogAPCについて(はじめにお読み下さい) >

目次

はじめに

こんにちは、クラウド事業部の清水(駿)です。

AWS Configの機能で、自動修正について調査・検証を行いました。
セキュリティーグループ(SG)にてSSHの全開放はセキュリティリスクの懸念があるため多くのエンジニアを抱える企業の検証アカウントでなどは管理しきれずに設定されてしまう可能性があります。
そこで自動的に不必要な設定を修正する機能がAWS Configの自動修正機能です。
今回はSSH全開放されているSGのインバウンド設定を強制的に削除する自動修正機能を試してみようと思います。


こんな方へおすすめの記事です

  • Configの導入を検討されている方
  • Configの自動修正を検討している方
  • SCS-C02試験について情報収集したい方

前提

自動修正機能にフォーカスするため、すでにアカウントにConfigが設定されている前提で執筆をします。

試してみた

restricted-sshルールの設定

restricted-sshルールとは

使用中の無制限のインバウンドのSGがSSH トラフィックを禁止しているかどうかをチェックするものです。
このルールを適用するとインバウンドにてSSH全開放されているすべてのSGがルール対象となります。

ルール作成

Configダッシュボードにて”ルール” タブを選択し、”ルールの追加” をクリックします。

“ルールタイプの選択” で “AWS によって管理されるルールの追加” を選択し、”AWS マネージド型ルール” で “restricted-ssh” を選択し “次へ” をクリックします。

”詳細”、”評価モード”、”パラメータ”はデフォルトで“次へ” をクリックします。

設定した内容が問題なければ”保存”をクリックします。
これでインバウンドにてSSH全開放されているすべてのSGがConfigルール対象となりました。


AWS Systems Manager Automation用IAMロールの作成

AWS Systems Manager Automation用IAMロールがなぜ必要か

Configの自動修正の実行役はSystems Manager Automationが担っているからです。
SGに対して変更を行うことができるようにするためIAMロールを付与するためこの設定は必須となります。

★補足 AWS Systems Manager Automation は、AWSインフラストラクチャの反復可能なタスクを自動化するサービスです。
これは、AWSリソースの修正、更新、設定などを自動的に実行するために使用されます。

docs.aws.amazon.com

ポリシー&ロール設定

IAMロールに付与するための事前に作成しておいたこちらのポリシーを使用します。 "ec2:RevokeSecurityGroupIngress"が付与されていればインバウンドルールに対してアクションを取ることができます。

作成したIAMロール"delete-ingress-sg-role "にポリシーをアタッチします。
これでSystems Manager Automation用のIAMロールの準備は完了です。


自動修正設定

Configにて先ほど作成したルールを選択し “アクション” から “修復の管理” をクリックしてください。

“修復方法を選択” で “自動修復” を選択し “修復のアクションの詳細” は“AWS-DisablePublicAccessForSecurityGroup”を選択します。

“リソースIDパラメータ” に “GroupId” を選択し “AutmationAssumeRole” に先ほど控えたIAMロールのARNを入力して “変更を保存” をクリックしてください。

これにて自動で全開放されているSSHのみを削除する設定が完了しました。

自動修正の動作確認

“free-sg“というSGを作成して全開放されているSSHをインバウンドで許可しました。

SGを作成後、Configのrestricted-sshルールを確認したところ“アクションが正常に実行されました“と表示されています

“free-sg“から全開放されているSSHインバウンド設定が削除されていることを確認できました!

おわりに

今回はAWS Configの機能で、自動修正について調査・検証をご紹介しました。
今回は“restricted-sshルール“で検証を進めましたが、他のサービスにも応用可能ですのでぜひ試してみてください。私自身もConfigの経験はあるものの実際に自動修正に触れてみることで理解が深まりました。
最後までお読みいただきありがとうございました!

お知らせ

APCはAWS Advanced Tier Services(アドバンストティアサービスパートナー)認定を受けております。

その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jp

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp