Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ressourcen anhand von AWS Config Regeln auswerten
Wird verwendet AWS Config , um die Konfigurationseinstellungen Ihrer AWS Ressourcen auszuwerten. Dazu erstellen Sie AWS Config Regeln, die Ihren idealen Konfigurationseinstellungen entsprechen. AWS Config bietet anpassbare, vordefinierte Regeln, die als verwaltete Regeln bezeichnet werden, um Ihnen den Einstieg zu erleichtern.
Themen
- Überlegungen
- Unterstützung von Regionen
- Komponenten einer Regel
- Verwaltete Regeln
- Benutzerdefinierte Regeln
- Serviceverknüpfte Rollen
- Organisatorische Regeln
- Regeln hinzufügen
- Regeln aktualisieren
- Regeln löschen
- Regeln anzeigen
- Proaktive Bewertung aktivieren
- Evaluationen an Security Hub senden
- Auswerten von Ressourcen mit -Regeln
- Löschen von Auswertungsergebnissen
- Fehlerbehebung
Überlegungen
Kostenüberlegungen
Einzelheiten zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Config Preise
Empfehlung: Erwägen Sie, den AWS::Config::ResourceCompliance
Ressourcentyp aus der Aufzeichnung auszuschließen, bevor Sie Regeln löschen
Durch das Löschen von Regeln werden Konfigurationselemente (CIs) erstelltAWS::Config::ResourceCompliance
, die sich auf Ihre Kosten für den Konfigurationsrekorder auswirken können. Wenn Sie Regeln löschen, die eine große Anzahl von Ressourcentypen auswerten, kann dies zu einem Anstieg der Anzahl der CIs aufgezeichneten Ressourcentypen führen.
Um die damit verbundenen Kosten zu vermeiden, können Sie die Aufzeichnung für den AWS::Config::ResourceCompliance
Ressourcentyp deaktivieren, bevor Sie Regeln löschen, und die Aufzeichnung erneut aktivieren, nachdem die Regeln gelöscht wurden.
Da das Löschen von Regeln jedoch ein asynchroner Vorgang ist, kann es eine Stunde oder länger dauern, bis er abgeschlossen ist. Während der ZeitAWS::Config::ResourceCompliance
, für die die Aufzeichnung deaktiviert ist, werden Regelauswertungen nicht im Verlauf der zugehörigen Ressource aufgezeichnet.
AWS Config empfiehlt, diese Faktoren auf einer bestimmten case-by-case Grundlage abzuwägen, bevor Sie entscheiden, wie mit dem Löschen von Regeln verfahren werden soll.
Empfehlung: Fügen Sie Logik hinzu, um die Auswertung gelöschter Ressourcen für benutzerdefinierte Lambda-Regeln zu handhaben
Beim Erstellen von AWS Config benutzerdefinierten Lambda-Regeln wird dringend empfohlen, Logik für die Auswertung gelöschter Ressourcen hinzuzufügen.
Wenn Auswertungsergebnisse als NOT_APPLICABLE
gekennzeichnet sind, werden sie zum Löschen markiert und bereinigt. Wenn sie NICHT als markiert sindNOT_APPLICABLE
, bleiben die Evaluierungsergebnisse unverändert, bis die Regel gelöscht wird. Dies kann zu einem unerwarteten Anstieg bei der Erstellung von oder AWS::Config::ResourceCompliance
beim Löschen der CIs Regel führen.
Informationen dazu, wie Sie AWS Config benutzerdefinierte Lambda-Regeln so einrichten, dass sie NOT_APPLICABLE
für gelöschte Ressourcen zurückgegeben werden, finden Sie unter Gelöschte Ressourcen mit AWS Config benutzerdefinierten Lambda-Regeln verwalten.
Empfehlung: Stellen Sie die Ressourcen bereit, die für benutzerdefinierte Lambda-Regeln gelten
AWS Config Benutzerdefinierte Lambda-Regeln können zu einer hohen Anzahl von Lambda-Funktionsaufrufen führen, wenn die Regel nicht auf einen oder mehrere Ressourcentypen beschränkt ist. Um eine erhöhte Aktivität im Zusammenhang mit Ihrem Konto zu vermeiden, wird dringend empfohlen, Ressourcen im Rahmen Ihrer benutzerdefinierten Lambda-Regeln bereitzustellen. Wenn keine Ressourcentypen ausgewählt sind, ruft die Regel die Lambda-Funktion für alle Ressourcen im Konto auf.
Weitere Überlegungen
Standardwerte für verwaltete Regeln
Die für verwaltete Regeln angegebenen Standardwerte sind nur bei Verwendung der AWS Konsole vorab ausgefüllt. Die Standardwerte werden für API, CLI oder SDK nicht bereitgestellt.
Verzögerungen bei der Aufzeichnung des Konfigurationselements
AWS Config In der Regel werden Konfigurationsänderungen an Ihren Ressourcen unmittelbar nach dem Erkennen einer Änderung oder in der von Ihnen angegebenen Häufigkeit aufgezeichnet. Dies erfolgt jedoch nach bestem Wissen und kann manchmal länger dauern. Zu den Ressourcentypen mit bekannten Verzögerungen gehören: AWS::SecretsManager::Secret
undAWS::SQS::Queue
. Bei diesen Ressourcentypen handelt es sich um Beispiele, und diese Liste erhebt keinen Anspruch auf Vollständigkeit.
Richtlinien und Ergebnisse zur Einhaltung von Vorschriften
IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.
Directory-Buckets werden nicht unterstützt
Verwaltete Regeln unterstützen nur allgemeine Buckets bei der Bewertung von Amazon Simple Storage Service (Amazon S3) -Ressourcen. Weitere Informationen zu Allzweck-Buckets und Verzeichnis-Buckets finden Sie unter Buckets-Übersicht und Verzeichnis-Buckets im Amazon-S3-Benutzerhandbuch.
Verwaltete Regeln und globale IAM-Ressourcentypen
Die globalen IAM-Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group
,, undAWS::IAM::User
) AWS::IAM::Policy
AWS::IAM::Role
, können nur AWS Config in AWS Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese Ressourcentypen können nicht in Regionen erfasst werden, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.
Wenn Sie einen globalen IAM-Ressourcentyp in mindestens einer Region aufzeichnen, führen periodische Regeln, die die Einhaltung des globalen IAM-Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM-Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.
Um unnötige Bewertungen zu vermeiden, sollten Sie nur regelmäßige Regeln einrichten, die die Einhaltung der Vorschriften für einen globalen IAM-Ressourcentyp an eine der unterstützten Regionen melden. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach regionaler Verfügbarkeit.
Unterstützung von Regionen
Derzeit wird die AWS Config Regelfunktion in den folgenden AWS Regionen unterstützt. Eine Liste der einzelnen AWS Config Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen.
Name der Region | Region | Endpunkt | Protocol (Protokoll) |
---|---|---|---|
USA Ost (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
USA Ost (Nord-Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
USA West (Nordkalifornien) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
USA West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
Afrika (Kapstadt) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Asien-Pazifik (Hongkong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Asien-Pazifik (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Asien-Pazifik (Malaysia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asien-Pazifik (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asien-Pazifik (Thailand) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Kanada West (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Mailand) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Spanien) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zürich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Mexiko (Zentral) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
Naher Osten (Bahrain) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Naher Osten (VAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (US-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Die Bereitstellung von AWS Config Regeln für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.
Name der Region | Region | Endpunkt | Protocol (Protokoll) |
---|---|---|---|
USA Ost (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
USA Ost (Nord-Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
USA West (Nordkalifornien) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
USA West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
Afrika (Kapstadt) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Asien-Pazifik (Hongkong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Asien-Pazifik (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Asien-Pazifik (Jakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Asien-Pazifik (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asien-Pazifik (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asien-Pazifik (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Asien-Pazifik (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asien-Pazifik (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asien-Pazifik (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asien-Pazifik (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Kanada (Zentral) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Kanada West (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (London) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Mailand) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (Spanien) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Stockholm) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zürich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
Naher Osten (Bahrain) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Naher Osten (VAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
Südamerika (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (US-Ost) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (US-West) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |