Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ressourcen anhand von AWS Config Regeln auswerten
Wird verwendet AWS Config , um die Konfigurationseinstellungen Ihrer AWS Ressourcen auszuwerten. Dazu erstellen Sie AWS Config Regeln, die Ihren idealen Konfigurationseinstellungen entsprechen. AWS Config bietet anpassbare, vordefinierte Regeln, die als verwaltete Regeln bezeichnet werden, um Ihnen den Einstieg zu erleichtern.
So funktionieren AWS Config Regeln
Während AWS Config die Konfigurationsänderungen bei allen Ihren Ressourcen kontinuierlich verfolgt, wird überprüft, ob diese Änderungen nicht den Bedingungen Ihrer Regeln entsprechen. Wenn eine Ressource der Regel nicht entspricht, werden die AWS Config Ressource und die Regel als nicht konform gekennzeichnet. Im Folgenden sind die möglichen Bewertungsergebnisse für eine AWS Config Regel aufgeführt:
-
COMPLIANT: Die Regel erfüllt die Bedingungen der Compliance-Überprüfung. -
NON_COMPLIANT: Die Regel erfüllt die Bedingungen der Compliance-Überprüfung nicht. -
ERROR: Einer der erforderlichen/optionalen Parameter ist ungültig, hat nicht den richtigen Typ oder ist falsch formatiert. -
NOT_APPLICABLE: Wird verwendet, um Ressourcen herauszufiltern, auf die die Logik der Regel nicht angewendet werden kann. Beispielsweise überprüft die Regel alb-desync-mode-check nur Application Load Balancer und ignoriert Network Load Balancers und Gateway Load Balancers.
Wenn beispielsweise ein EC2-Volume erstellt wird, AWS Config kann das Volume anhand einer Regel bewertet werden, nach der Volumes verschlüsselt werden müssen. Wenn das Volume nicht verschlüsselt ist, werden das AWS Config Volume und die Regel als nicht konform gekennzeichnet. AWS Config kann auch alle Ihre Ressourcen auf kontoweite Anforderungen überprüfen. AWS Config Kann beispielsweise überprüfen, ob die Anzahl der EC2-Volumes in einem Konto innerhalb der gewünschten Summe bleibt oder ob ein Konto für die Protokollierung verwendet wird AWS CloudTrail .
Regeln, die mit Diensten verknüpft sind
Bei dienstbezogenen Regeln handelt es sich um eine einzigartige Art von verwalteten Regeln, die andere AWS Dienste bei der Erstellung von AWS Config Regeln in Ihrem Konto unterstützen. Diese Regeln sind so vordefiniert, dass sie alle Berechtigungen enthalten, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen. Diese Regeln ähneln den Standards, die ein AWS Dienst Ihnen AWS-Konto zur Überprüfung der Einhaltung der Vorschriften empfiehlt. Weitere Informationen finden Sie unter Serviceverknüpfte Regeln AWS Config.
Benutzerdefinierte Regeln
Sie können auch benutzerdefinierte Regeln erstellen, um zusätzliche Ressourcen auszuwerten, die noch AWS Config nicht erfasst wurden. Weitere Informationen finden Sie unter AWS Config Benutzerdefinierte Regeln und Auswerten zusätzliche Ressourcentypen.
Konformität anzeigen
In der AWS Config Konsole wird der Konformitätsstatus Ihrer Regeln und Ressourcen angezeigt. Sie können sehen, wie Ihre AWS Ressourcen insgesamt Ihren gewünschten Konfigurationen entsprechen, und erfahren, welche spezifischen Ressourcen nicht konform sind. Sie können auch die AWS CLI, die AWS Config API und AWS SDKs verwenden, um Anfragen nach Compliance-Informationen an den AWS Config Service zu richten.
Durch AWS Config die Bewertung Ihrer Ressourcenkonfigurationen können Sie beurteilen, wie gut Ihre Ressourcenkonfigurationen internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
Einschränkungen
Die maximale Anzahl von AWS Config Regeln für jede Region für jedes Konto und weitere Servicelimits finden Sie unter AWS Config Service Limits.
Kostenüberlegungen
Einzelheiten zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Config Preise
Empfehlung: Beenden Sie die Aufzeichnung der Einhaltung der Ressourcenbestimmungen, bevor Sie Regeln löschen
Es wird dringend empfohlen, die Aufzeichnung für den AWS::Config::ResourceCompliance Ressourcentyp zu beenden, bevor Sie Regeln in Ihrem Konto löschen. Durch das Löschen von Regeln entstehen Konfigurationselemente (CIs) für Ihren Konfigurationsrekorder AWS::Config::ResourceCompliance und dies kann sich auf die Kosten für Ihren AWS Config Konfigurationsrekorder auswirken. Wenn Sie Regeln löschen, die eine große Anzahl von Ressourcentypen auswerten, kann dies zu einem Anstieg der Anzahl der aufgezeichneten CIs führen.
Bewährtes Verfahren:
Beenden Sie die Aufnahme
AWS::Config::ResourceComplianceRegel (n) löschen
Schalten Sie die Aufnahme ein für
AWS::Config::ResourceCompliance
Empfehlung: Fügen Sie Logik hinzu, um die Auswertung gelöschter Ressourcen für benutzerdefinierte Lambda-Regeln zu handhaben
Beim Erstellen von AWS Config benutzerdefinierten Lambda-Regeln wird dringend empfohlen, Logik für die Auswertung gelöschter Ressourcen hinzuzufügen.
Wenn Auswertungsergebnisse als NOT_APPLICABLE gekennzeichnet sind, werden sie zum Löschen markiert und bereinigt. Wenn sie NICHT als markiert sindNOT_APPLICABLE, bleiben die Evaluierungsergebnisse unverändert, bis die Regel gelöscht wird. Dies kann zu einem unerwarteten Anstieg AWS::Config::ResourceCompliance bei der Erstellung von CIs für das Löschen der Regel führen.
Informationen dazu, wie Sie AWS Config benutzerdefinierte Lambda-Regeln so einrichten, dass sie NOT_APPLICABLE für gelöschte Ressourcen zurückgegeben werden, finden Sie unter Gelöschte Ressourcen mit AWS Config benutzerdefinierten Lambda-Regeln verwalten.
Empfehlung: Stellen Sie die Ressourcen bereit, die für benutzerdefinierte Lambda-Regeln gelten
AWS Config Benutzerdefinierte Lambda-Regeln können zu einer hohen Anzahl von Lambda-Funktionsaufrufen führen, wenn die Regel nicht auf einen oder mehrere Ressourcentypen beschränkt ist. Um eine erhöhte Aktivität im Zusammenhang mit Ihrem Konto zu vermeiden, wird dringend empfohlen, Ressourcen im Rahmen Ihrer benutzerdefinierten Lambda-Regeln bereitzustellen. Wenn keine Ressourcentypen ausgewählt sind, ruft die Regel die Lambda-Funktion für alle Ressourcen im Konto auf.
Unterstützung von Regionen
Derzeit wird die AWS Config Regelfunktion in den folgenden AWS Regionen unterstützt. Eine Liste der einzelnen AWS Config Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen.
| Name der Region | Region | Endpunkt | Protocol (Protokoll) |
|---|---|---|---|
| USA Ost (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| USA Ost (Nord-Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| USA West (Nordkalifornien) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| USA West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| Afrika (Kapstadt) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Hongkong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Kanada West (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Mailand) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Spanien) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zürich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Naher Osten (Bahrain) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Naher Osten (VAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Die Bereitstellung von AWS Config Regeln für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.
| Name der Region | Region | Endpunkt | Protocol (Protokoll) |
|---|---|---|---|
| USA Ost (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| USA Ost (Nord-Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| USA West (Nordkalifornien) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| USA West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (USA-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Fehlerbehebung
Überprüfen Sie die folgenden Probleme, um zu beheben, wenn Sie eine AWS Config Regel nicht löschen können oder eine Fehlermeldung ähnlich der folgenden angezeigt wird: „Ein Fehler ist aufgetreten bei AWS Config.“
Die AWS Identity and Access Management (IAM-) Entität hat Berechtigungen für die API DeleteConfigRule
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. Wählen Sie im Navigationsbereich Benutzer oder Rollen aus.
Wählen Sie den Benutzer oder die Rolle aus, den Sie zum Löschen der AWS Config Regel verwendet haben, und erweitern Sie den Bereich Berechtigungsrichtlinien.
Wählen Sie auf der Registerkarte „Berechtigungen“ die Option JSON aus.
Vergewissern Sie sich im JSON-Vorschaufenster, dass die IAM-Richtlinie Berechtigungen für die DeleteConfigRegel-API zulässt.
Die Rechtegrenze der IAM-Entität erlaubt die API DeleteConfigRule
Wenn die IAM-Entität über eine Berechtigungsgrenze verfügt, stellen Sie sicher, dass sie Berechtigungen für die DeleteConfigRule API zulässt.
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. Wählen Sie im Navigationsbereich Benutzer oder Rollen aus.
Wählen Sie den Benutzer oder die Rolle aus, den Sie zum Löschen der AWS Config Regel verwendet haben, erweitern Sie die Rechtegrenze und wählen Sie dann JSON aus.
Vergewissern Sie sich im JSON-Vorschaufenster, dass die IAM-Richtlinie Berechtigungen für die DeleteConfigRegel-API zulässt.
Warnung
IAM-Benutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.
Die Service Control Policy (SCP) erlaubt die API DeleteConfigRule
Öffnen Sie die AWS Organizations Konsole unter https://console.aws.amazon.com/organizations/ mit dem Verwaltungskonto der Organisation.
Wählen Sie unter Kontoname die AWS-Konto.
Erweitern Sie unter Richtlinien den Eintrag Richtlinien zur Dienststeuerung und notieren Sie sich die angehängten SCP-Richtlinien.
Wählen Sie oben auf der Seite Richtlinien aus.
Wählen Sie die Richtlinie und dann Details anzeigen aus.
Vergewissern Sie sich im JSON-Vorschaufenster, dass die Richtlinie die DeleteConfigRegel-API zulässt.
Bei der Regel handelt es sich nicht um eine serviceverknüpfte Regel
Wenn Sie einen Sicherheitsstandard aktivieren, AWS Security Hub erstellt servicebezogene Regeln für Sie. Sie können diese dienstbezogenen Regeln nicht mithilfe von löschen AWS Config, und die Schaltfläche Löschen ist ausgegraut. Informationen zum Entfernen einer serviceverknüpften Regel finden Sie unter Deaktivieren eines Sicherheitsstandards im Security Hub Hub-Benutzerhandbuch.
Derzeit werden keine Abhilfemaßnahmen durchgeführt
Sie können keine AWS Config Regeln löschen, für die derzeit Behebungsmaßnahmen durchgeführt werden. Folgen Sie den Schritten, um die mit dieser Regel verknüpfte Behebungsaktion zu löschen. Versuchen Sie dann erneut, die Regel zu löschen.
Wichtig
Löschen Sie nur Behebungsaktionen, die sich im Status „Fehlgeschlagen“ oder „Erfolgreich“ befinden.
