Terminologie Anpassen der Vorlage Bereitstellen Ihres benutzerdefinierten Konformitätspakets

Benutzerdefinierte Konformitätspakete

Ein benutzerdefiniertes Konformitätspaket ist eine einzigartige Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die Sie gemeinsam in einem Konto und einer AWS Region oder unternehmensweit in einer Organisation bereitstellen können. AWS Organizations

Wenn Sie ein benutzerdefiniertes Konformitätspaket erstellen möchten, folgen Sie den Schritten im Abschnitt Anpassen der Vorlage, um eine YAML-Datei zu erstellen, die die Liste der von AWS Config verwalteten Regeln oder der AWS Config -benutzerdefinierten Regeln enthält, mit denen Sie arbeiten möchten.

Terminologie

AWS Config Verwaltete Regeln sind vordefinierte Regeln, deren Eigentümer ist. AWS Config

AWS Config Benutzerdefinierte Regeln sind Regeln, die Sie von Grund auf neu erstellen.

Es gibt zwei Möglichkeiten, AWS Config benutzerdefinierte Regeln zu erstellen: mit Lambda-Funktionen (AWS Lambda Developer Guide) und mit Guard (Guard GitHub Repository), einer policy-as-code Sprache. AWS Config Benutzerdefinierte Regeln, die mit erstellt wurden, AWS Lambda werden als AWS Config benutzerdefinierte Lambda-Regeln bezeichnet, und AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, werden als AWS Config benutzerdefinierte Richtlinienregeln bezeichnet.

Anpassen der Vorlage

Erstellen einer YAML-Datei

Zum Erstellen einer YAML-Datei öffnen Sie einen Texteditor und speichern Sie die Datei als .yaml.

Anmerkung

Ihre Datei wird einen Abschnitt Parameter und einen Abschnitt Ressourcen enthalten.

Parameter

Der Parameters Abschnitt in Ihrer YAML-Datei enthält die Regelparameter für den AWS Config Regelsatz, den Sie später in dem Resources Abschnitt hinzufügen werden. Erstellen Sie den Abschnitt Parameters, indem Sie den folgenden Code-Block kopieren und in Ihre YAML-Datei einfügen, ihn nach Bedarf anpassen und den Schritt für jeden Regelparameter wiederholen.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Beispielsweise:


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

Anmerkung

Vergewissern Sie sich bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Konformitätspakets, dass Sie die Ressourcen in Ihrem Konto bereitgestellt haben, die anhand der Regeln bewertet werden. AWS Config

Die erste Zeile im Parameterabschnitt danach Parameters: ist eine verkettete Zeichenfolge aus + Param +. NameOfRuleNameOfRuleParameter
1. Ersetzen Sie NameOfRule durch einen einheitlichen Namen, den Sie für die Regel erstellen. Das könnte zum Beispiel für die Regel sein. IamPasswordPolicyiam-password-policy
2. Typ Param.
3. Ersetzen Sie NameOfRuleParameter dann durch den Namen des Regelparameters für Ihre spezifische Regel. Bei AWS Config verwalteten Regeln befindet sich der Name des Regelparameters in der Liste der AWS Config verwalteten Regeln (MinimumPasswordLengthist z. B. der Name eines Regelparameters für die iam-password-policyRegel). Bei AWS Config -benutzerdefinierten Regeln entspricht der Name des Regelparameters dem Namen, den Sie bei der Erstellung der Regel ausgewählt haben.
Wenn Sie eine AWS Config verwaltete Regel verwenden, suchen Sie die entsprechende AWS Config Regel in der Liste der verwalteten Regeln, damit Sie die akzeptierten Werte für Default und Type für Ihre spezielle Regel kennen. Verwenden Sie für AWS Config -benutzerdefinierte Regeln die Werte, die Sie bei der Erstellung Ihrer Regel ausgewählt haben.

Anmerkung
Für jeden Parameter Type muss angegeben werden. Typekann einer der folgenden Werte sein: „String“, „int“, „double“, „CSV“, „boolean“ und "StringMap“.

Ressourcen

In Abschnitt Resources sind die Regeln aufgeführt, die Ihrem benutzerdefinierten Konformitätspaket hinzugefügt werden. Fügen Sie den folgenden Resources-Block direkt unter Ihrem Abschnitt Parameters hinzu, passen Sie ihn nach Bedarf an und wiederholen Sie den Schritt für jede Regel. Weitere Informationen zu den Spezifikationen finden Sie unter. AWS::Config::ConfigRule


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Beispielsweise:


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

Anmerkung

Stellen Sie bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Conformance Packs sicher, dass Sie über die in Ihrem Konto bereitgestellten Ressourcen verfügen, die anhand der bereitgestellten AWS Config Regeln evaluiert werden. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

Ersetzen Sie NameOfRule durch den Namen, den Sie im Abschnitt Parameters erstellt haben.
Bei AWS Config verwalteten Regeln ActualConfigRuleName ersetzen Sie diese durch den Titel der entsprechenden Regelseite in der Liste der AWS Config verwalteten Regeln. Verwenden Sie für AWS Config benutzerdefinierte Regeln den Namen der Konfigurationsregel, den Sie bei der Erstellung der Regel ausgewählt haben.
Ersetzen Sie NameOfRuleParameter durch den Namen, den Sie im Abschnitt Parameters verwendet haben. Kopieren Sie nach dem Doppelpunkt dieselbe verkettete Zeichenfolge mit NameOfRule+ Param +, die Sie im Abschnitt erstellt haben NameOfRuleParameter, und fügen Sie sie ein. Parameters
Ändern Sie Owner in den entsprechenden Wert.

Anmerkung
AWS Config Verwaltete Regeln
Für AWS Config verwaltete Regeln lautet der Wert für OwnerAWS.
AWS Config Benutzerdefinierte Regeln
Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, lautet der Wert für OwnerCUSTOM_POLICY. Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, lautet der Wert fürOwner. CUSTOM_LAMBDA
Ändern Sie SOURCE_IDENTIFIER in den entsprechenden Wert.

Anmerkung
AWS Config Verwaltete Regeln
Kopieren Sie bei AWS Config verwalteten Regeln den Bezeichner, indem Sie dem Link in der Regel folgen, die Sie in der Liste der AWS Config verwalteten Regeln ausgewählt haben (die Quell-ID für die access-keys-rotatedRegel lautet beispielsweise ACCESS_KEYS_ROTATED). 
AWS Config Benutzerdefinierte Regeln
Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, SourceIdentifier ist dies der Amazon-Ressourcenname (ARN) der AWS Lambda Regelfunktion, z. B. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, ist dieses Feld nicht erforderlich.

Insgesamt sollte Ihr ausgefülltes benutzerdefiniertes Konformitätspaket wie folgt aussehen, das ein Beispiel für die Verwendung dieser AWS Config verwalteten Regeln ist: iam-password-policy, access-keys-rotated, und iam-user-unused-credentials-check.


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Bereitstellen Ihres benutzerdefinierten Konformitätspakets

Informationen zur Bereitstellung Ihres benutzerdefinierten Conformance Packs finden Sie unter Bereitstellen eines Conformance Packs mit die AWS Config Konsole und Bereitstellen eines Conformance Packs über die AWS Config Befehlszeilenschnittstelle. 

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispielvorlagen mit Korrekturmaßnahmen

Dashboard für Konformitätspakete