Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Pacchetti di conformità personalizzati
Un pacchetto di conformità personalizzato è una raccolta unica di AWS Config regole e azioni correttive che è possibile implementare insieme in un account e in una AWS regione o all'interno di un'organizzazione in. AWS Organizations
Per creare un pacchetto di conformità personalizzato, segui i passaggi nella seguente sezione Personalizzazione del modello per creare un file YAML che contenga l'elenco delle regole AWS Config gestite o AWS Config delle regole personalizzate con cui desideri lavorare.
Nota
AWS ConfigLe Managed Rules sono regole predefinite di proprietà di. AWS Config
AWS ConfigLe regole personalizzate sono regole create da zero. Esistono due modi per creare regole AWS Config personalizzate: con le funzioni Lambda (AWS LambdaDeveloper Guide) e con Guard (Guard GitHub Repository
Personalizzazione del modello
Creazione del file YAML
Per creare un file YAML, apri un editor di testo e salva il file come.yaml.
Nota
Il file conterrà una sezione Parametri e risorse.
Parametri
La Parameters
sezione del file YAML contiene i parametri delle regole per il set di AWS Config regole che aggiungerai più avanti nella Resources
sezione. Crea la Parameters
sezione copiando e incollando il seguente blocco di codice nel tuo file YAML, personalizzandolo secondo necessità e ripetendo l'operazione per ogni parametro della regola.
Parameters:
NameOfRule
ParamNameOfRuleParameter
: Default:Parameter value
Type:Type
...
Ad esempio:
Parameters: IamPasswordPolicyParamMinimumPasswordLength: Default: '14' Type: String
Nota
Quando selezioni le AWS Config Regole per creare il tuo pacchetto di conformità personalizzato, verifica che all'interno del tuo account siano disponibili le risorse che verranno valutate in base alle Regole. AWS Config
-
La prima riga nella sezione dei parametri successiva
Parameters:
è una stringa concatenata di + Param +.NameOfRule
NameOfRuleParameter
-
Sostituiscila con un nome coerente creato per la regola. Ad esempio, potrebbe essere IamPasswordPolicyper la iam-password-policy regola.NameOfRule
-
Tipo
Param
. -
Quindi, sostituiscilo
con il nome del parametro della regola specifica. Per AWS Config Managed Rules, il nome del parametro della regola si trova nell'Elenco delle regole AWS Config gestite (ad esempio, MinimumPasswordLengthè il nome di un parametro di regola per la iam-password-policyregola). Per AWS Config Custom Rules, il nome del parametro rule è il nome scelto al momento della creazione della regola.NameOfRuleParameter
-
-
Se utilizzi una regola AWS Config gestita, trova la AWS Config regola appropriata nell'elenco delle regole gestite in modo da conoscere i valori accettati per
Default
eType
per la tua regola specifica. Per le regole AWS Config personalizzate, utilizza i valori selezionati durante la creazione della regola.Nota
Per ogni parametro,
Type
deve essere specificato.Type
può essere uno tra «String», «int», «double», «CSV», «boolean» e "». StringMap
Risorse
La Resources
sezione elenca le regole che vengono aggiunte al Custom Conformance Pack. Aggiungi il seguente Resources
blocco direttamente sotto la Parameters
sezione, personalizzandolo secondo necessità e ripetendo l'operazione per ogni regola. Per ulteriori informazioni sulle specifiche, vedere. AWS::Config::ConfigRule
Resources:
NameOfRule
: Properties: ConfigRuleName:ActualConfigRuleName
InputParameters:NameOfRuleParameter
:NameOfRule
ParamNameOfRuleParameter
Source: Owner:Owner
SourceIdentifier:SOURCE_IDENTIFIER
Type: AWS::Config::ConfigRule...
Ad esempio:
Resources: IamPasswordPolicy: Properties: ConfigRuleName: iam-password-policy InputParameters: MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Type: AWS::Config::ConfigRule
Nota
Quando selezioni le AWS Config regole per creare il tuo pacchetto di conformità personalizzato, verifica di disporre delle risorse che verranno valutate per le AWS Config regole previste all'interno del tuo account. Per ulteriori informazioni, consulta Tipi di risorse supportati.
-
Sostituisci
con lo stesso nome che hai creato nellaNameOfRule
Parameters
sezione. -
Per AWS Config Managed Rules, sostituiscilo
con il titolo della pagina delle regole appropriata nell'Elenco delle regole AWS Config gestite. Per le regole AWS Config personalizzate, usa il nome della regola di configurazione che hai scelto al momento della creazione della regola.ActualConfigRuleName
-
Sostituiscilo
con lo stesso nome che hai usato nellaNameOfRuleParameter
Parameters
sezione. Dopo i due punti, copia e incolla la stessa stringa concatenata diNameOfRule
+ Param +NameOfRuleParameter
che hai creato nella sezione.Parameters
-
Passa
al valore appropriato.Owner
Nota
AWS ConfigRegole gestite
Per AWS Config Managed Rules, il valore per
Owner
saràAWS
.AWS ConfigRegole personalizzate
Per le regole AWS Config personalizzate create con Guard, il valore per
Owner
saràCUSTOM_POLICY
. Per le regole AWS Config personalizzate create con Lambda, il valore perOwner
sarà.CUSTOM_LAMBDA
-
Passa
al valore appropriato.SOURCE_IDENTIFIER
Nota
AWS ConfigRegole gestite
Per le regole AWS Config gestite, copia l'identificatore seguendo il collegamento dalla regola selezionata dall'elenco delle regole AWS Config gestite (ad esempio, l'identificatore di origine della access-keys-rotatedregola è ACCESS_KEYS_ROTATED).
AWS ConfigRegole personalizzate
Per le regole AWS Config personalizzate create con Lambda,
SourceIdentifier
è l'Amazon Resource Name (ARN) della AWS Lambda funzione della regola, ad esempio.arn:aws:lambda:us-east-2:123456789012:function:
Per le regole AWS Config personalizzate create con Guard, questo campo non è necessario.ActualConfigRuleName
Nel complesso, il pacchetto di conformità personalizzato compilato dovrebbe iniziare ad assomigliare al seguente, che è un esempio di utilizzo delle seguenti AWS Config Managed Rules: iam-password-policy, access-keys-rotatede -check. iam-user-unused-credentials
Parameters: IamPasswordPolicyParamMinimumPasswordLength: Default: '14' Type: String AccessKeysRotatedParamMaxAccessKeyAge: Default: '90' Type: String IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge: Default: '45' Type: String Resources: IamPasswordPolicy: Properties: ConfigRuleName: iam-password-policy InputParameters: MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Type: AWS::Config::ConfigRule AccessKeysRotated: Properties: ConfigRuleName: access-keys-rotated InputParameters: maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED Type: AWS::Config::ConfigRule IamUserUnusedCredentialsCheck: Properties: ConfigRuleName: iam-user-unused-credentials-check InputParameters: maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK Type: AWS::Config::ConfigRule
Implementazione del tuo pacchetto di conformità personalizzato
Per distribuire il pacchetto di conformità personalizzato, vedi Distribuzione di un Conformance Pack utilizzando la AWS Config console e la distribuzione di un Conformance Pack utilizzando l'interfaccia a riga di comando. AWS Config