Modalità di valutazione e tipi di trigger perAWS Config le regole - AWS Config
Tipi di triggerModalità di valutazioneValutazioni delle regole

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modalità di valutazione e tipi di trigger perAWS Config le regole

Quando aggiungi una regola al tuo account, puoi specificare quando, nel processo di creazione e gestione delle risorse, desideriAWS Config valutare le tue risorse. Il processo di creazione e gestione delle risorse è noto come fornitura di risorse. È possibile scegliere la modalità di valutazione per specificare quando, in questo processo, siAWS Config desidera valutare le risorse.

A seconda della regola,AWS Config può valutare le configurazioni delle risorse prima che una risorsa sia stata distribuita, dopo che una risorsa è stata distribuita o entrambi. La valutazione di una risorsa prima che venga implementata è una valutazione proattiva. Valutare una risorsa dopo che è stata utilizzata è una valutazione investigativa.

Puoi anche scegliere il tipo di trigger per specificare la frequenza con cuiAWS Config le regole valutano le tue risorse. Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o in entrambi i casi.

Tipi di trigger

Dopo aver aggiunto una regola al tuo account,AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire valutazioni ogni volta che viene attivata. Gli eventi scatenanti della valutazione sono definiti come parte della regola e possono includere le seguenti tipologie:

Modifiche di configurazione

AWS Configesegue le valutazioni per la regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo che AWS Config ha inviato una notifica di modifica dell'elemento di configurazione.

Puoi scegliere quali risorse avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:

  • Uno o più tipi di risorse

  • Una combinazione di un tipo di risorsa e un ID risorsa

  • Una combinazione di una chiave e un valore di un tag

  • Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata

AWS Config esegue la valutazione quando rileva una modifica a una risorsa che soddisfa l'ambito della regola. È possibile utilizzare l'ambito per definire quali risorse avviano le valutazioni.

Periodic (Periodico)

AWS Configesegue le valutazioni per la regola con una frequenza scelta, ad esempio ogni 24 ore.

ibrido

Alcune regole prevedono sia modifiche alla configurazione che attivazioni periodiche. Per queste regole,AWS Config valuta le risorse quando rileva una modifica alla configurazione e anche in base alla frequenza specificata.

Modalità di valutazione

Esistono due modalità di valutazione:

Usa la valutazione proattiva per valutare le risorse prima che vengano distribuite. Ciò consente di valutare se un insieme di proprietà delle risorse, se utilizzato per definire unaAWS risorsa, sarebbe COMPLIANT o NON_COMPLIANT in base al set di regole proattive che hai nel tuo account nella tua regione.

Lo schema del tipo di risorsa indica le proprietà di una risorsa. Puoi trovare lo schema dei tipi di risorsa in "estensioniAWS pubbliche" all'interno delAWS CloudFormation registro o con il seguente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Per ulteriori informazioni, vedere Gestione delle estensioni tramite ilAWS CloudFormation registro e il riferimento ai tipi diAWS risorse e proprietà nella Guida per l'AWS CloudFormationutente.

Nota

Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT né ne impediscono l'implementazione.

Elenco di regole gestite con valutazione proattiva

Per un elenco di regole gestite che supportano la valutazione proattiva, vedere Elenco delle regoleAWS Config gestite per modalità di valutazione.

Elenco dei tipi di risorse supportati per la valutazione proattiva

Di seguito è riportato un elenco di tipi di risorse supportati per la valutazione proattiva:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Regola di esempio con valutazione proattiva

Esempio di regola proattiva

  1. Aggiungi la regolaAWS Config gestita al tuo account per verificare se i bucket S3 hanno la registrazione abilitata.S3_BUCKET_LOGGING_ENABLED

  2. Per la modalità di valutazione, scegli Attiva la valutazione proattiva nella Console diAWS gestione o abilitaPROACTIVEEvaluationModes nell'PutConfigRuleAPI.

Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se un bucket del tuo account, che non è stato distribuito in produzione, non ha la registrazione abilitata. Ciò consente di testare le configurazioni delle risorse prima della distribuzione e di rivalutare se si desidera distribuire la risorsa in produzione.

Ad esempio, inizia con l' StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::S3::Bucket",
                                     "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Dovresti ricevereResourceEvaluationId nell'output:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Quindi, usaResourceEvaluationId con l' GetResourceEvaluationSummary API per verificare il risultato della valutazione:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Verrà visualizzato un output simile al seguente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",

    }
}

Per visualizzare informazioni aggiuntive sul risultato della valutazione, ad esempio quale regola ha contrassegnato una risorsa come NON_COMPLIANT, utilizza l'GetComplianceDetailsByResourceAPI.

Usa la valutazione investigativa per valutare le risorse che sono già state distribuite. In questo modo è possibile valutare le impostazioni della configurazione delle risorse di.

Regole di esempio con valutazione investigativa

Esempio di regola attivata dalla modifica

  1. Aggiungi la regola gestita al tuo account per verificare se i bucket S3 hanno la registrazione abilitata.S3_BUCKET_LOGGING_ENABLED

  2. Il tipo di trigger per la regola sono le modifiche alla configurazione. AWS Configesegue le valutazioni per la regola quando un bucket S3 viene creato, modificato o eliminato.

  3. Quando un bucket viene aggiornato, la modifica della configurazione avvia la regola eAWS Config valuta se il bucket è conforme alla regola.

Esempio di regola periodica

  1. Aggiungi la regola gestitaIAM_PASSWORD_POLICY, al tuo account. La regola verifica se la politica delle password per gli utenti IAM è conforme alla politica dell'account, ad esempio richiede una lunghezza minima o richiede caratteri specifici.

  2. Il tipo di trigger per la regola è periodico. AWS Config esegue la valutazione della regola con una frequenza specificata dall'utente, ad esempio ogni 24 ore.

  3. Ogni 24 ore, la regola viene avviata eAWS Config valuta se le password degli utenti IAM sono conformi alla regola.

Esempio di regola ibrida con modifica della configurazione e trigger periodici

  1. Crea una regola personalizzata che valuti se iAWS CloudTrail trail nel tuo account sono attivati e la registrazione per tutte le regioni.

  2. È consigliabile che AWS Config esegua le valutazioni per la regola ogni volta un trail viene creato, aggiornato o eliminato. È inoltre consigliabile che AWS Config esegua la regola ogni 12 ore.

  3. Per il tipo di trigger, scrivi la logica sia per la modifica della configurazione che per i trigger periodici. Per ulteriori informazioni, vedere Componenti di unaAWS Config regola: regole di scrittura.

Valutazioni delle regole quando il registratore della configurazione è spento

Se spegni il registratore della configurazione, AWS Config interrompe la registrazione delle modifiche alle configurazioni di risorse. Ciò influisce sulle valutazioni delle regole nei seguenti modi:

  • Le regole periodiche continuano a eseguire valutazioni con la frequenza specificata.

  • Le regole attivate dalla modifica non eseguono valutazioni.

  • Le regole ibride eseguono valutazioni solo alla frequenza specificata. Le regole non eseguono le valutazioni per le modifiche delle configurazioni.

  • Se si esegue una valutazione su richiesta per una regola con un trigger di modifica della configurazione, la regola valuta l'ultimo stato noto della risorsa, che è l'ultimo elemento di configurazione registrato.