Bestandteile einer AWS Config Regel - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bestandteile einer AWS Config Regel

AWS Config Regeln bewerten die Konfigurationseinstellungen Ihrer AWS Ressourcen. Auf dieser Seite werden die Komponenten einer Regel beschrieben.

So funktionieren AWS Config Regeln

Während AWS Config die Konfigurationsänderungen bei allen Ihren Ressourcen kontinuierlich verfolgt, wird überprüft, ob diese Änderungen nicht den Bedingungen Ihrer Regeln entsprechen. Wenn eine Ressource der Regel nicht entspricht, werden die AWS Config Ressource und die Regel als nicht konform gekennzeichnet.

Es gibt vier mögliche Bewertungsergebnisse für eine AWS Config Regel.

Ergebnis der Bewertung Beschreibung
COMPLIANT Die Regel erfüllt die Bedingungen der Konformitätsprüfung.
NON_COMPLIANT Die Regel erfüllt die Bedingungen der Konformitätsprüfung nicht.
ERROR Einer der erforderlichen/optionalen Parameter ist ungültig, hat nicht den richtigen Typ oder ist falsch formatiert.
NOT_APPLICABLE Wird verwendet, um Ressourcen herauszufiltern, auf die die Logik der Regel nicht angewendet werden kann. Die alb-desync-mode-checkRegel überprüft beispielsweise nur Application Load Balancer und ignoriert Network Load Balancers und Gateway Load Balancers.

Wenn beispielsweise ein EC2 Volume erstellt wird, AWS Config kann das Volume anhand einer Regel bewertet werden, die vorschreibt, dass Volumes verschlüsselt werden müssen. Wenn das Volume nicht verschlüsselt ist, werden AWS Config das Volume und die Regel als nicht konform gekennzeichnet. AWS Config kann auch alle Ihre Ressourcen auf kontoweite Anforderungen überprüfen. AWS Config Kann beispielsweise überprüfen, ob die Anzahl der EC2 Volumen in einem Konto innerhalb der gewünschten Summe bleibt oder ob ein Konto AWS CloudTrail für die Protokollierung verwendet wird.

Auslösertypen

Nachdem Sie Ihrem Konto eine Regel hinzugefügt haben, werden Ihre Ressourcen mit den Bedingungen der Regel AWS Config verglichen. Nach dieser ersten Evaluierung werden die Evaluierungen jedes Mal, wenn eine ausgelöst wird, AWS Config fortgesetzt. Die Evaluierungsauslöser sind als Teil der Regel definiert und können die folgenden Typen beinhalten.

Typ des Auslösers Beschreibung
Konfigurationsänderungen AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde.

Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein:

  • Mindestens ein Ressourcentyp

  • Eine Kombination aus einem Ressourcentyp und einer Ressourcen-ID

  • Eine Kombination aus einem Tag-Schlüssel und einem Wert

  • Wann alle aufgezeichneten Ressourcen erstellt, aktualisiert oder gelöscht wurden

AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen.

Regelmäßig AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden.
Hybrid Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit.

Evaluierungsmodi

Es gibt zwei Bewertungsmodi für AWS Config Regeln.

Bewertungsmodus Beschreibung
Proaktiv

Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie auswerten, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NICHT KONFORM gelten würde.

Detektivisch Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten.
Anmerkung

Durch proaktive Regeln werden keine Ressourcen korrigiert, die als NON_COMPLIANT gekennzeichnet sind, und sie verhindern auch nicht, dass diese bereitgestellt werden.

Weitere Informationen finden Sie unter Proaktive Evaluierung für AWS Config Regeln aktivieren.

Liste der verwalteten Regeln mit proaktiver Auswertung

Eine Liste der verwalteten Regeln, die die proaktive Evaluierung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus.

Liste der unterstützten Ressourcentypen für die proaktive Auswertung

Im Folgenden finden Sie eine Liste der Ressourcentypen, die für die proaktive Auswertung unterstützt werden:

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

AWS Config Regel-Metadaten

AWS Config Regeln können die folgenden veränderbaren Metadaten enthalten:

defaultName

DefaultName ist der Name, den Instances einer Regel standardmäßig erhalten.

description

Die Regelbeschreibung bietet einen Kontext für die Elemente, die die Regel auswertet. Für die AWS Config -Konsole gilt eine Beschränkung von 256 Zeichen. Als bewährte Methode sollte die Regelbeschreibung mit „Prüft ob“ beginnen und eine Beschreibung des NON_COMPLIANT-Szenarios enthalten. Servicenamen sollten vollständig geschrieben werden, beginnend mit AWS oder Amazon, wenn sie in der Regelbeschreibung zum ersten Mal erwähnt werden. Zum Beispiel AWS CloudTrail oder Amazon CloudWatch statt CloudTrail oder CloudWatch für den ersten Gebrauch. Im weiteren Verlauf können Servicenamen abgekürzt werden.

scope

Der Umfang bestimmt, auf welche Ressourcentypen sich die Regel bezieht. Eine Liste der unterstützten Ressourcentypen finden Sie unter Unterstützte Ressourcentypen.

compulsoryInputParameterDetails

Die compulsoryInputParameter Details werden für Parameter verwendet, die für die Auswertung einer Regel erforderlich sind. Die verwaltete Regel access-keys-rotated enthält beispielsweise den erforderlichen Parameter maxAccessKeyAge. Wenn ein Parameter erforderlich ist, wird er nicht als optional markiert. Für jeden Parameter muss ein Typ angegeben werden. Der Typ kann „String“, „int“, „double“, „CSV“, „boolean“ und "StringMap“ sein.

optionalInputParameterDetails

Die optionalInputParameter Details werden für Parameter verwendet, die für die Auswertung einer Regel optional sind. Die verwaltete Regel elasticsearch-logs-to-cloudwatch enthält beispielsweise den optionalen Parameter logTypes. Für jeden Parameter muss ein Typ angegeben werden. Der Typ kann „String“, „int“, „double“, „CSV“, „boolean“ und "StringMap“ sein.

supportedEvaluationModes

supportedEvaluationModes Legt fest, wann Ressourcen bewertet werden, entweder bevor eine Ressource bereitgestellt wurde oder nachdem eine Ressource bereitgestellt wurde.

DETECTIVE wird verwendet, um Ressourcen zu auszuwerten, die bereits bereitgestellt wurden. Auf diese Weise können Sie die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten. PROACTIVE wird verwendet, um Ressourcen auszuwerten, bevor sie bereitgestellt werden.

Auf diese Weise können Sie beurteilen, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NON_KONFORM gelten würde.

Sie können „An“DETECTIVE, PROACTIVE „ supportedEvaluationModes oder beide“ und „beideDETECTIVE“ angeben. PROACTIVE Sie müssen einen Testmodus angeben und dieses Feld darf nicht leer bleiben.

Anmerkung

Durch proaktive Regeln werden keine Ressourcen korrigiert, die als NON_COMPLIANT gekennzeichnet sind, und sie verhindern auch nicht, dass diese bereitgestellt werden.