Template Scanner

Template Scannerアドオンを使用すると、Trend Micro Cloud One™–Conformity ルールを、AWS CloudFormationとTerraformテンプレート、Conformity Profiles、およびアカウントで実行できます。サービスやリソースを起動する前に、予防的なセキュリティおよび管理コントロールをワークフローに追加して、問題を特定して修正できます。

コンテンツ

• Template Scannerとは何ですか？
• Template Scannerの使用方法
• CloudFormationおよびTerraformテンプレートを検索する
• エンドポイントを使用してルールを取得する
• 検索結果が表示されないのはなぜですか？

Template Scannerとは何ですか？

Conformity は、テンプレートファイル内のリスクを検出してAWSインフラストラクチャがコンプライアンスを維持できるようにするための予防策として、 Template Scanner 機能を提供します。

CI / CDパイプラインと自動化でAPIエンドポイントを使用できます。

このサービスは、テンプレートファイルの検索に使用できます。現在、CloudFormation、Terraform、および Conformity Profilesがサポートされています。

スタックを作成するたびに、パラメータを使用してテンプレートへの入力値をカスタマイズできます。テンプレートでパラメータが定義されている場合は、引数フィールドを使用してパラメータ値を指定できます。

Template Scannerの使用方法

Template Scanner は、次の目的で使用できます。

1. CloudFormationテンプレートまたはTerraformテンプレートを検索する
2. Template Scanner Scannerの使用
   
   
   

エンドポイントを使用してルールを取得する

次のAPIエンドポイントを使用して、検索可能なルールのリストを取得できます。

• CloudFormationテンプレート
• Terraformテンプレート

UI経由で検索

1. 検索するルール設定の種類を選択します。

   • Default rule settings ：JSONまたはYAML形式で、デフォルトのCloudFormationまたはTerraform templateのルール設定をアップロードしてスキャンします。

     CloudFormationテンプレートを検索する

     • CloudFormationテンプレートは、JSON形式またはYAML形式でアップロードできます。
     • YAMLテンプレートで ! Conditionも使用できます。

     Terraformテンプレートを検索する

     • コマンドラインツールから次の手順に従って、TerraformテンプレートをJSONに変換する必要があります。

       1. .tfテンプレートと同じディレクトリで、プロバイダの アクセスキー、 秘密鍵 、および エクスポート領域 （例：`export AWS_REGION=us-east-1`）をエクスポートします。
       2. コマンドを実行します。 terraform init
       3. コマンドを実行します。 terraform plan -out=your_file
       4. terraform show -json your_file > your_file.jsonコマンドを実行します。 Terraform template JSONプランを.tfファイルと同じフォルダから Template Scanner にアップロードする準備ができました。
       5. 次のセクションの手順に従ってUI経由で検索するか、APIエンドポイントを使用します。

   • Profile rule settings：選択した Profileのルール設定をアップロードして検索します。

   • Account rule settings：選択したアカウントのルール設定をアップロードして検索します。

2. Upload and scan をクリックして、選択したルール設定のスキャン結果を表示します。

1. テンプレートの検索中に、パラメータが不足しているというメッセージが表示されます。検索プロセスを Proceed するか Cancel するかを決定します。
   

パラメータが指定されていないリソースは検索されないため、検索結果は部分的になります。

1. 検索結果のChecksを確認します。失敗したチェックは、解決手順へのリンクを含むResolveボタンを表示します。ルールの詳細については、「 Rules」を参照してください。

失敗したチェックで提供される解決手順は、CLIまたはコンソール経由のワークフロー用です。これらの手順は、CloudFormationで解決するためのガイドとして使用することもできます。

検索結果が表示されないのはなぜですか？

次のいずれかの理由で、空の応答またはエラーが返されることがあります。

1. サポートされていないリソースタイプ： サポートされているリソースタイプを参照してください。今後、さらに多くの種類のソースのサポートを追加する予定です。優先度として必要な特定のリソースタイプがある場合は、 Conformity にログインし、サポートチームにチケットを送信してください。
2. サポートされていないルール： Template Scanner は、リソース-レベルのルールのみをサポートします。ルールとサービスのリストについては、 Conformity サービスカタログ を参照してください。
3. 初期設定値のないパラメータ：初期設定値のないパラメータを含むCloudFormationテンプレートは処理できない可能性があります。