Personalizzazione del modello Implementazione del tuo pacchetto di conformità personalizzato

Pacchetti di conformità personalizzati

Un pacchetto di conformità personalizzato è una raccolta unica di AWS Config regole e azioni correttive che è possibile implementare insieme in un account e in una AWS regione o all'interno di un'organizzazione in. AWS Organizations

Per creare un pacchetto di conformità personalizzato, segui i passaggi nella seguente sezione Personalizzazione del modello per creare un file YAML che contenga l'elenco delle regole AWS Config gestite o AWS Config delle regole personalizzate con cui desideri lavorare.

Nota

AWS ConfigLe Managed Rules sono regole predefinite di proprietà di. AWS Config

AWS ConfigLe regole personalizzate sono regole create da zero. Esistono due modi per creare regole AWS Config personalizzate: con le funzioni Lambda (AWS LambdaDeveloper Guide) e con Guard (Guard GitHub Repository), un linguaggio. policy-as-code AWS Configle regole personalizzate create con AWS Lambda sono chiamate Regole Lambda AWS Config personalizzate e le regole AWS Config personalizzate create con Guard sono chiamate Regole di policy AWS Config personalizzate.

Personalizzazione del modello

Creazione del file YAML

Per creare un file YAML, apri un editor di testo e salva il file come.yaml.

Nota

Il file conterrà una sezione Parametri e risorse.

Parametri

La Parameters sezione del file YAML contiene i parametri delle regole per il set di AWS Config regole che aggiungerai più avanti nella Resources sezione. Crea la Parameters sezione copiando e incollando il seguente blocco di codice nel tuo file YAML, personalizzandolo secondo necessità e ripetendo l'operazione per ogni parametro della regola.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Ad esempio:


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

Nota

Quando selezioni le AWS Config Regole per creare il tuo pacchetto di conformità personalizzato, verifica che all'interno del tuo account siano disponibili le risorse che verranno valutate in base alle Regole. AWS Config

La prima riga nella sezione dei parametri successiva Parameters: è una stringa concatenata di + Param +. NameOfRuleNameOfRuleParameter
1. NameOfRuleSostituiscila con un nome coerente creato per la regola. Ad esempio, potrebbe essere IamPasswordPolicyper la iam-password-policy regola.
2. Tipo Param.
3. Quindi, sostituiscilo NameOfRuleParameter con il nome del parametro della regola specifica. Per AWS Config Managed Rules, il nome del parametro della regola si trova nell'Elenco delle regole AWS Config gestite (ad esempio, MinimumPasswordLengthè il nome di un parametro di regola per la iam-password-policyregola). Per AWS Config Custom Rules, il nome del parametro rule è il nome scelto al momento della creazione della regola.
Se utilizzi una regola AWS Config gestita, trova la AWS Config regola appropriata nell'elenco delle regole gestite in modo da conoscere i valori accettati per Default e Type per la tua regola specifica. Per le regole AWS Config personalizzate, utilizza i valori selezionati durante la creazione della regola.

Nota
Per ogni parametro, Type deve essere specificato. Typepuò essere uno tra «String», «int», «double», «CSV», «boolean» e "». StringMap

Risorse

La Resources sezione elenca le regole che vengono aggiunte al Custom Conformance Pack. Aggiungi il seguente Resources blocco direttamente sotto la Parameters sezione, personalizzandolo secondo necessità e ripetendo l'operazione per ogni regola. Per ulteriori informazioni sulle specifiche, vedere. AWS::Config::ConfigRule


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Ad esempio:


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

Nota

Quando selezioni le AWS Config regole per creare il tuo pacchetto di conformità personalizzato, verifica di disporre delle risorse che verranno valutate per le AWS Config regole previste all'interno del tuo account. Per ulteriori informazioni, consulta Tipi di risorse supportati.

Sostituisci NameOfRule con lo stesso nome che hai creato nella Parameters sezione.
Per AWS Config Managed Rules, sostituiscilo ActualConfigRuleName con il titolo della pagina delle regole appropriata nell'Elenco delle regole AWS Config gestite. Per le regole AWS Config personalizzate, usa il nome della regola di configurazione che hai scelto al momento della creazione della regola.
Sostituiscilo NameOfRuleParameter con lo stesso nome che hai usato nella Parameters sezione. Dopo i due punti, copia e incolla la stessa stringa concatenata di NameOfRule+ Param + NameOfRuleParameterche hai creato nella sezione. Parameters
Passa Owner al valore appropriato.

Nota
AWS ConfigRegole gestite
Per AWS Config Managed Rules, il valore per Owner saràAWS.
AWS ConfigRegole personalizzate
Per le regole AWS Config personalizzate create con Guard, il valore per Owner saràCUSTOM_POLICY. Per le regole AWS Config personalizzate create con Lambda, il valore per Owner sarà. CUSTOM_LAMBDA
Passa SOURCE_IDENTIFIER al valore appropriato.

Nota
AWS ConfigRegole gestite
Per le regole AWS Config gestite, copia l'identificatore seguendo il collegamento dalla regola selezionata dall'elenco delle regole AWS Config gestite (ad esempio, l'identificatore di origine della access-keys-rotatedregola è ACCESS_KEYS_ROTATED). 
AWS ConfigRegole personalizzate
Per le regole AWS Config personalizzate create con Lambda, SourceIdentifier è l'Amazon Resource Name (ARN) della AWS Lambda funzione della regola, ad esempio. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Per le regole AWS Config personalizzate create con Guard, questo campo non è necessario.

Nel complesso, il pacchetto di conformità personalizzato compilato dovrebbe iniziare ad assomigliare al seguente, che è un esempio di utilizzo delle seguenti AWS Config Managed Rules: iam-password-policy, access-keys-rotatede -check. iam-user-unused-credentials


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Implementazione del tuo pacchetto di conformità personalizzato

Per distribuire il pacchetto di conformità personalizzato, vedi Distribuzione di un Conformance Pack utilizzando la AWS Config console e la distribuzione di un Conformance Pack utilizzando l'interfaccia a riga di comando. AWS Config 

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modelli di esempio con azione di correzione

Pannello di controllo del pacchetto di conformità