Ressourcen anhand von AWS Config Regeln auswerten - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcen anhand von AWS Config Regeln auswerten

Wird verwendet AWS Config , um die Konfigurationseinstellungen Ihrer AWS Ressourcen auszuwerten. Dazu erstellen Sie AWS Config Regeln, die Ihren idealen Konfigurationseinstellungen entsprechen. AWS Config bietet anpassbare, vordefinierte Regeln, die als verwaltete Regeln bezeichnet werden, um Ihnen den Einstieg zu erleichtern.

Überlegungen

Kostenüberlegungen

Einzelheiten zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Config Preise.

Empfehlung: Erwägen Sie, den AWS::Config::ResourceCompliance Ressourcentyp aus der Aufzeichnung auszuschließen, bevor Sie Regeln löschen

Durch das Löschen von Regeln werden Konfigurationselemente (CIs) erstelltAWS::Config::ResourceCompliance, die sich auf Ihre Kosten für den Konfigurationsrekorder auswirken können. Wenn Sie Regeln löschen, die eine große Anzahl von Ressourcentypen auswerten, kann dies zu einem Anstieg der Anzahl der CIs aufgezeichneten Ressourcentypen führen.

Um die damit verbundenen Kosten zu vermeiden, können Sie die Aufzeichnung für den AWS::Config::ResourceCompliance Ressourcentyp deaktivieren, bevor Sie Regeln löschen, und die Aufzeichnung erneut aktivieren, nachdem die Regeln gelöscht wurden.

Da das Löschen von Regeln jedoch ein asynchroner Vorgang ist, kann es eine Stunde oder länger dauern, bis er abgeschlossen ist. Während der ZeitAWS::Config::ResourceCompliance, für die die Aufzeichnung deaktiviert ist, werden Regelauswertungen nicht im Verlauf der zugehörigen Ressource aufgezeichnet.

AWS Config empfiehlt, diese Faktoren auf einer bestimmten case-by-case Grundlage abzuwägen, bevor Sie entscheiden, wie mit dem Löschen von Regeln verfahren werden soll.

Empfehlung: Fügen Sie Logik hinzu, um die Auswertung gelöschter Ressourcen für benutzerdefinierte Lambda-Regeln zu handhaben

Beim Erstellen von AWS Config benutzerdefinierten Lambda-Regeln wird dringend empfohlen, Logik für die Auswertung gelöschter Ressourcen hinzuzufügen.

Wenn Auswertungsergebnisse als NOT_APPLICABLE gekennzeichnet sind, werden sie zum Löschen markiert und bereinigt. Wenn sie NICHT als markiert sindNOT_APPLICABLE, bleiben die Evaluierungsergebnisse unverändert, bis die Regel gelöscht wird. Dies kann zu einem unerwarteten Anstieg bei der Erstellung von oder AWS::Config::ResourceCompliance beim Löschen der CIs Regel führen.

Informationen dazu, wie Sie AWS Config benutzerdefinierte Lambda-Regeln so einrichten, dass sie NOT_APPLICABLE für gelöschte Ressourcen zurückgegeben werden, finden Sie unter Gelöschte Ressourcen mit AWS Config benutzerdefinierten Lambda-Regeln verwalten.

Empfehlung: Stellen Sie die Ressourcen bereit, die für benutzerdefinierte Lambda-Regeln gelten

AWS Config Benutzerdefinierte Lambda-Regeln können zu einer hohen Anzahl von Lambda-Funktionsaufrufen führen, wenn die Regel nicht auf einen oder mehrere Ressourcentypen beschränkt ist. Um eine erhöhte Aktivität im Zusammenhang mit Ihrem Konto zu vermeiden, wird dringend empfohlen, Ressourcen im Rahmen Ihrer benutzerdefinierten Lambda-Regeln bereitzustellen. Wenn keine Ressourcentypen ausgewählt sind, ruft die Regel die Lambda-Funktion für alle Ressourcen im Konto auf.

Weitere Überlegungen

Standardwerte für verwaltete Regeln

Die für verwaltete Regeln angegebenen Standardwerte sind nur bei Verwendung der AWS Konsole vorab ausgefüllt. Die Standardwerte werden für API, CLI oder SDK nicht bereitgestellt.

Verzögerungen bei der Aufzeichnung des Konfigurationselements

AWS Config In der Regel werden Konfigurationsänderungen an Ihren Ressourcen unmittelbar nach dem Erkennen einer Änderung oder in der von Ihnen angegebenen Häufigkeit aufgezeichnet. Dies erfolgt jedoch nach bestem Wissen und kann manchmal länger dauern. Zu den Ressourcentypen mit bekannten Verzögerungen gehören: AWS::SecretsManager::Secret undAWS::SQS::Queue. Bei diesen Ressourcentypen handelt es sich um Beispiele, und diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Richtlinien und Ergebnisse zur Einhaltung von Vorschriften

IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.

Directory-Buckets werden nicht unterstützt

Verwaltete Regeln unterstützen nur allgemeine Buckets bei der Bewertung von Amazon Simple Storage Service (Amazon S3) -Ressourcen. Weitere Informationen zu Allzweck-Buckets und Verzeichnis-Buckets finden Sie unter Buckets-Übersicht und Verzeichnis-Buckets im Amazon-S3-Benutzerhandbuch.

Verwaltete Regeln und globale IAM-Ressourcentypen

Die globalen IAM-Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group,, undAWS::IAM::User) AWS::IAM::PolicyAWS::IAM::Role, können nur AWS Config in AWS Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese Ressourcentypen können nicht in Regionen erfasst werden, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.

Wenn Sie einen globalen IAM-Ressourcentyp in mindestens einer Region aufzeichnen, führen periodische Regeln, die die Einhaltung des globalen IAM-Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM-Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.

Um unnötige Bewertungen zu vermeiden, sollten Sie nur regelmäßige Regeln einrichten, die die Einhaltung der Vorschriften für einen globalen IAM-Ressourcentyp an eine der unterstützten Regionen melden. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach regionaler Verfügbarkeit.

Unterstützung von Regionen

Derzeit wird die AWS Config Regelfunktion in den folgenden AWS Regionen unterstützt. Eine Liste der einzelnen AWS Config Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen.

Name der Region Region Endpunkt Protocol (Protokoll)
USA Ost (Ohio) us-east-2

config.us-east-2.amazonaws.com

config-fips.us-east-2.amazonaws.com

HTTPS

HTTPS

USA Ost (Nord-Virginia) us-east-1

config.us-east-1.amazonaws.com

config-fips.us-east-1.amazonaws.com

HTTPS

HTTPS

USA West (Nordkalifornien) us-west-1

config.us-west-1.amazonaws.com

config-fips.us-west-1.amazonaws.com

HTTPS

HTTPS

USA West (Oregon) us-west-2

config.us-west-2.amazonaws.com

config-fips.us-west-2.amazonaws.com

HTTPS

HTTPS

Afrika (Kapstadt) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asien-Pazifik (Hongkong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asien-Pazifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asien-Pazifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asien-Pazifik (Malaysia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Asien-Pazifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asien-Pazifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asien-Pazifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asien-Pazifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asien-Pazifik (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asien-Pazifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asien-Pazifik (Thailand) ap-southeast-7 config.ap-southeast-7.amazonaws.com HTTPS
Asien-Pazifik (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Zentral) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada West (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Mailand) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spanien) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Mexiko (Zentral) mx-central-1 config.mx-central-1.amazonaws.com HTTPS
Naher Osten (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Naher Osten (VAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Südamerika (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ost) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS

Die Bereitstellung von AWS Config Regeln für alle Mitgliedskonten einer AWS Organisation wird in den folgenden Regionen unterstützt.

Name der Region Region Endpunkt Protocol (Protokoll)
USA Ost (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
USA Ost (Nord-Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA West (Nordkalifornien) us-west-1 config.us-west-1.amazonaws.com HTTPS
USA West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrika (Kapstadt) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asien-Pazifik (Hongkong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asien-Pazifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asien-Pazifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asien-Pazifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asien-Pazifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asien-Pazifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asien-Pazifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asien-Pazifik (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asien-Pazifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asien-Pazifik (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Zentral) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada West (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Mailand) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spanien) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Naher Osten (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Naher Osten (VAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Südamerika (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ost) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS