Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Benutzerdefinierte Lambda-Regeln ( EC2Amazon-Beispiel)
Dieses Verfahren führt Sie durch den Prozess der Erstellung einer benutzerdefinierten Lambda-Regel, die auswertet, ob jede Ihrer EC2 Instances vom Typ t2.micro ist. AWS Config führt ereignisbasierte Evaluierungen für diese Regel durch, d. h., Ihre Instance-Konfigurationen werden jedes Mal überprüft, wenn eine Konfigurationsänderung in einer Instance AWS Config erkannt wird. AWS Config kennzeichnet t2.micro-Instances als konform und alle anderen Instances als nicht konform. Der Compliance-Status wird in der AWS Config -Konsole angezeigt.
Um mit diesem Verfahren das beste Ergebnis zu erzielen, sollten Sie eine oder mehrere EC2 Instanzen in Ihrem System haben. AWS-Konto Ihre Instances sollten eine Kombination von mindestens einer t2.micro-Instance und anderen Typen enthalten.
Um diese Regel zu erstellen, erstellen Sie zunächst eine AWS Lambda Funktion, indem Sie einen Blueprint in der AWS Lambda Konsole anpassen. Anschließend erstellen Sie eine benutzerdefinierte Lambda-Regel in AWS Config und verknüpfen die Regel mit der Funktion.
Schritt 1: AWS Lambda Funktion für eine benutzerdefinierte Konfigurationsregel erstellen
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Lambda Konsole unter https://console.aws.amazon.com/lambda/
. -
Vergewissern Sie sich im AWS Management Console Menü, dass die Regionsauswahl auf eine Region eingestellt ist, die AWS Config Regeln unterstützt. Die Liste der unterstützten Regionen finden Sie unter AWS Config -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.
-
Wählen Sie in der AWS Lambda Konsole Create a Lambda-Funktion aus.
-
Wählen Sie Use a blueprint (Vorlage verwenden). Geben Sie in das Suchfeld config-rule-change-triggered ein. Wählen Sie die Vorlage in den Filterergebnissen und dann Konfigurieren aus.
-
Wählen Sie auf der Seite Configure Triggers (Auslöser konfigurieren) die Option Next (Weiter) aus.
-
Führen Sie auf der Seite Basic information folgende Schritte aus:
-
Geben Sie im Feld Function name (Funktionsname)
InstanceTypeCheck
ein. -
Wählen Sie für Ausführungsrolle die Option Neue Rolle aus AWS Richtlinienvorlagen erstellen aus.
-
Behalten Sie unter Runtime (Laufzeit) die Einstellung Node.js bei.
-
Geben Sie unter Rollenname einen Namen ein.
-
Wählen Sie für Richtlinienvorlagen die Option AWS Config Rules-Berechtigungen aus.
-
Übernehmen Sie unter Lambda Funktionscode den vorkonfigurierten Code. Der Node.js-Code für Ihre Funktion wird im Code-Editor bereitgestellt. Für dieses Verfahren müssen Sie den Code nicht ändern.
-
Überprüfen Sie die Details und wählen Sie dann Erstellen aus. In der AWS Lambda Konsole wird Ihre Funktion angezeigt.
-
-
Testen Sie die Funktion mit folgenden Schritten, um sicherzustellen, dass sie richtig eingerichtet ist:
-
Wählen Sie im Menü unter Funktionsübersicht die Option Test und dann Testereignis konfigurieren aus.
-
Wählen Sie für Vorlage die Option AWS Config -Benachrichtigung über Änderung eines Konfigurationselements aus.
-
Geben Sie im Feld Name einen Namen ein.
-
Wählen Sie Test. AWS Lambda testet Ihre Funktion mit dem Beispielereignis. Wenn Ihre Funktion erwartungsgemäß funktioniert, wird unter Execution result (Ausführungsergebnis) eine Fehlermeldung ähnlich der Folgenden angezeigt:
{ "errorType": "InvalidResultTokenException," "errorMessage": "Result Token provided is invalid", . . .
Dies
InvalidResultTokenException
wird erwartet, da Ihre Funktion nur dann erfolgreich ausgeführt wird, wenn sie ein Ergebnis-Token von empfängt AWS Config. Das Ergebnis-Token identifiziert die AWS Config -Regel sowie das die Auswertung auslösende Ereignis und weist einer Regel eine Auswertung zu. Diese Ausnahme gibt an, dass Ihre Funktion über die Berechtigung zum Senden der Ergebnisse an AWS Config verfügt. Andernfalls wird die folgende Fehlermeldung angezeigt:not authorized to perform: config:PutEvaluations
. Bei diesem Fehler aktualisieren Sie die Rolle, die Sie Ihrer Funktion zugewiesen haben, um dieconfig:PutEvaluations
-Aktion zuzulassen. Dann testen Sie die Funktion erneut.
-
Schritt 2: Erstellen einer benutzerdefinierten Lambda-Regel zur Evaluierung von Amazon-Instances EC2
-
Öffnen Sie die AWS Config Konsole unter. https://console.aws.amazon.com/config/
-
Stellen Sie im AWS Management Console Menü sicher, dass die Regionsauswahl auf dieselbe Region eingestellt ist, in der Sie die AWS Lambda Funktion für Ihre benutzerdefinierte Lambda-Regel erstellt haben.
-
Wählen Sie auf der Seite Rules (Regeln) die Option Add Rule (Regel hinzufügen) aus.
-
Wählen Sie auf der Seite Regeltyp angeben die Option Benutzerdefinierte Regel erstellen aus.
-
Führen Sie auf der Seite Configure Rule (Regel konfigurieren) die folgenden Schritte aus:
-
Geben Sie bei Name
InstanceTypesAreT2micro
ein. -
Geben Sie in Description (Beschreibung) den Text
Evaluates whether EC2 instances are the t2.micro type
ein. -
Geben Sie bei AWS Lambda Function ARN den ARN an, der Ihrer Funktion von AWS Lambda zugewiesen wurde.
Anmerkung
Der von Ihnen in diesem Schritt angegebene ARN darf keinen
$LATEST
-Qualifizierer enthalten. Sie können einen ARN ohne Versionsbezeichner oder mit einem beliebigen anderen Qualifizierer angeben.$LATEST
AWS Lambda unterstützt die Versionsverwaltung von Funktionen, und jeder Version wird ein ARN mit einem Qualifier zugewiesen. AWS Lambda verwendet den$LATEST
Qualifier für die neueste Version. -
Als Triggertyp wählen Sie Wenn sich die Konfiguration ändert aus.
-
Bei Scope of changes (Umfang der Änderungen) wählen Sie Resources (Ressourcen) aus.
-
Wählen Sie für Ressourcen die Option AWS EC2Instanz aus der Dropdownliste Ressourcentyp aus.
-
Im Abschnitt Parameter müssen Sie den Regelparameter, den Ihre AWS Lambda Funktion auswertet, sowie den gewünschten Wert angeben. Die Funktion für dieses Verfahren bewertet den
desiredInstanceType
-Parameter.Geben Sie für Key (Schlüssel)
desiredInstanceType
ein. Geben Sie für Valuet2.micro
ein.
-
-
Wählen Sie Weiter. Überprüfen Sie auf der Seite Überprüfen und erstellen die Details zu Ihrer Regel und klicken Sie auf Regelfunktion hinzufügen. Ihre neue Regel wird auf der Seite Rules (Regeln) angezeigt.
Bei Konformität wird der Text Evaluiert... angezeigt. bis AWS Config Sie die Bewertungsergebnisse Ihrer AWS Lambda Funktion erhalten. Wenn die Regel und die Funktion wie erwartet funktionieren, wird nach einigen Minuten eine Zusammenfassung der Ergebnisse angezeigt. Das Ergebnis 2 noncompliant resource(s) (2 nicht konforme Ressource(n)) gibt beispielsweise an, dass 2 Ihrer Instances keine t2.micro-Instances sind. Das Ergebnis Compliant (Konform) bedeutet, dass alle Instances vom Typ "t2.micro" sind. Sie können die Ergebnisse über die Aktualisieren-Schaltfläche aktualisieren.
Wenn die Regel oder Funktion nicht wie erwartet funktioniert, wird eine der folgenden Meldungen bei Compliance angezeigt:
-
Keine Ergebnisse gemeldet — Ihre Ressourcen wurden anhand der Regel AWS Config bewertet. Die Regel galt innerhalb ihres Umfangs nicht für die AWS -Ressourcen, die angegebenen Ressourcen wurden gelöscht oder die Auswertungsergebnisse wurden gelöscht. Wenn Sie die Auswertungsergebnisse abrufen möchten, aktualisieren Sie die Regel, ändern Sie Ihren Umfang oder wählen Sie Re-evaluate (Erneut bewerten) aus.
Stellen Sie sicher, dass der Umfang AWS EC2 Instance für Ressourcen umfasst, und versuchen Sie es erneut.
-
Keine Ressourcen im Geltungsbereich — Ihre aufgezeichneten AWS Ressourcen AWS Config können nicht anhand dieser Regel bewertet werden, da sich keine Ihrer Ressourcen innerhalb des Gültigkeitsbereichs der Regel befindet. Um Bewertungsergebnisse zu erhalten, bearbeiten Sie die Regel und ändern Sie ihren Geltungsbereich, oder fügen Sie mithilfe der Einstellungsseite Ressourcen für AWS Config die Aufzeichnung hinzu.
Stellen Sie sicher, AWS Config dass EC2 Instanzen aufgezeichnet werden.
-
Evaluations failed (Auswertungen fehlgeschlagen) – Weitere Informationen, mit denen Sie das Problem bestimmen können, finden Sie, indem Sie den Regelnamen auswählen und die Detailseite öffnen, um die Fehlermeldung anzuzeigen.
-
Wenn Ihre Regel ordnungsgemäß funktioniert und Bewertungsergebnisse AWS Config liefert, können Sie herausfinden, welche Bedingungen sich auf den Konformitätsstatus Ihrer Regel auswirken. Sie können feststellen, welche Ressourcen ggf. nicht konform sind, und warum. Weitere Informationen finden Sie unter Compliance-Informationen und Bewertungsergebnisse für Ihre AWS Ressourcen anzeigen mit AWS Config.