Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Config Benutzerdefinierte Richtlinienregeln erstellen
Sie können AWS Config benutzerdefinierte Richtlinienregeln über die AWS Management Console AWS CLI, oder AWS Config API erstellen. Weitere Informationen zum Schreiben von Regeln mit Guard finden Sie unter Writing Guard-Regeln im AWS CloudFormation Guard-Benutzerhandbuch.
- Using the console
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/
. -
Vergewissern Sie sich im AWS Management Console Menü, dass die Regionsauswahl auf eine AWS Region eingestellt ist, die AWS Config Regeln unterstützt. Die Liste der unterstützten Regionen finden Sie unter AWS Config -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.
-
Klicken Sie im linken Navigationsbereich auf die Option Regeln.
-
Wählen Sie auf der Seite Rules (Regeln) die Option Add Rule (Regel hinzufügen) aus.
-
Wählen Sie auf der Seite Regeltyp angeben die Option Benutzerdefinierte Regel mit Guard erstellen aus.
-
Auf der Seite Regel konfigurieren konfigurieren Sie die Regel, indem Sie die folgenden Schritte ausführen:
-
Geben Sie unter Regelname einen eindeutigen Namen für die Regel ein.
-
Geben Sie unter Beschreibung eine Beschreibung für die Regel ein.
-
Wählen Sie für die Guard-Runtime-Version das Laufzeitsystem für Ihre AWS Config benutzerdefinierte Richtlinienregel aus.
-
Unter Regelinhalt können Sie die benutzerdefinierte Guard-Richtlinie für Ihre Regel angeben. Weitere Informationen zur Struktur und zu den Funktionen der benutzerdefinierten Guard-Richtlinien finden Sie in den Betriebsmodi von AWS CloudFormation Guard 2.0
im GitHub Guard-Repository. Das folgende Beispiel zeigt die Richtliniendefinition für eine AWS Config benutzerdefinierte Richtlinienregelversion der AWS Config verwalteten Regel dynamodb-pitr-enabled
# This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables let status = ['ACTIVE'] rule tableisactive when resourceType == "AWS::DynamoDB::Table" { configuration.tableStatus == %status } rule checkcompliance when resourceType == "AWS::DynamoDB::Table" tableisactive { let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus %pitr == "ENABLED" }
-
Wählen Sie für den Testmodus aus, wann Sie im Prozess der Ressourcenerstellung und -verwaltung Ihre Ressourcen bewerten AWS Config möchten. Je nach Regel AWS Config können Sie Ihre Ressourcenkonfigurationen auswerten, bevor eine Ressource bereitgestellt wurde, nachdem eine Ressource bereitgestellt wurde oder beides.
-
Wählen Sie Proaktive Auswertung einschalten aus, damit Auswertungen der Konfigurationseinstellungen Ihrer Ressourcen ausgeführt werden können, bevor diese bereitgestellt werden.
Nachdem Sie die proaktive Evaluierung aktiviert haben, können Sie mithilfe der StartResourceEvaluationAPI und GetResourceEvaluationSummaryder API überprüfen, ob die Ressourcen, die Sie in diesen Befehlen angeben, durch die proaktiven Regeln in Ihrem Konto in Ihrer Region als NON_COMPLIANT gekennzeichnet werden.
Weitere Informationen zur Verwendung dieser Befehle finden Sie unter Evaluieren Ihrer Ressourcen mithilfe von Regeln. AWS Config Eine Liste der verwalteten Regeln, die die proaktive Evaluierung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus.
-
Wählen Sie Detektivische Auswertung einschalten aus, um die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auszuwerten.
Bei der detektiven Evaluierung werden AWS Config benutzerdefinierte Richtlinienregeln durch Konfigurationsänderungen initiiert. Diese Option ist vorab ausgewählt.
-
Ressourcen: Wenn eine Ressource, die dem angegebenen Ressourcentyp oder dem Typ und dem Bezeichner entspricht, erstellt, geändert oder gelöscht wird
-
Tags: Wenn eine Ressource mit einem bestimmten angegebenen Tag erstellt, geändert oder gelöscht wird
-
Alle Änderungen — Wenn eine von aufgezeichnete Ressource erstellt, geändert oder gelöscht AWS Config wird.
AWS Config führt die Auswertung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu beschränken, welche Ressourcen Auswertungen initiieren. Andernfalls werden Auswertungen initiiert, wenn eine nach der Bereitstellung bereitgestellte Ressource geändert wird.
-
-
-
Unter Parameter können Sie die Werte für die bereitgestellten Schlüssel anpassen, falls Ihre Regel Parameter enthält. Ein Parameter ist ein Attribut, über das Ihre Ressourcen verfügen müssen, damit sie als regelkonform gelten.
-
-
Überprüfen Sie auf der Seite Überprüfen und erstellen alle Ihre Auswahlen, bevor Sie die Regel zu Ihrer AWS-Konto hinzufügen.
-
Wenn Sie mit der Überprüfung Ihrer Regeln fertig sind, wählen Sie Regel hinzufügen aus.
- Using the AWS CLI
Verwenden Sie den
put-config-rule
-Befehl.Das
Owner
-Feld sollte den WertCUSTOM_POLICY
aufweisen. Die folgenden zusätzlichen Felder sind für AWS Config benutzerdefinierte Richtlinienregeln erforderlich:-
Runtime
: Das Laufzeitsystem für Ihre AWS Config benutzerdefinierten Policy-Regeln. -
PolicyText
: Die Richtliniendefinition, die die Logik für Ihre benutzerdefinierten AWS Config -Richtlinienregeln enthält. -
EnableDebugLogDelivery
: Der boolesche Ausdruck zur Aktivierung der Debug-Protokollierung für Ihre AWS Config benutzerdefinierte Policy-Regel. Der Standardwert istfalse
.
-
- Using the API Reference
-
Verwenden Sie die Aktion „PutConfigRule“.
Das
Owner
-Feld sollte den WertCUSTOM_POLICY
aufweisen. Die folgenden zusätzlichen Felder sind für AWS Config benutzerdefinierte Richtlinienregeln erforderlich:-
Runtime
: Das Laufzeitsystem für Ihre AWS Config benutzerdefinierten Policy-Regeln. -
PolicyText
: Die Richtlinie, die die Logik für Ihre benutzerdefinierten AWS Config -Richtlinienregeln definiert. -
EnableDebugLogDelivery
: Der boolesche Ausdruck zur Aktivierung der Debug-Protokollierung für Ihre AWS Config benutzerdefinierte Policy-Regel. Der Standardwert istfalse
.
-