Specificare i trigger per le regole AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Specificare i trigger per le regole AWS Config

Quando aggiungi una regola all'account, puoi specificare se desideri che AWS Config esegua la regola; questo viene chiamato trigger. AWS Config valuta le configurazioni delle risorse rispetto alla regola al verificarsi del trigger.

Tipi di trigger

Esistono due tipi di trigger:

Modifiche di configurazione

AWS Config esegue valutazioni per la regola quando alcuni tipi di risorse sono creati, modificati o eliminati.

Puoi scegliere quali risorse attivano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:

  • Uno o più tipi di risorse

  • Una combinazione di un tipo di risorsa e un ID risorsa

  • Una combinazione di una chiave e un valore di un tag

  • Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata

AWS Config esegue la valutazione quando rileva una modifica a una risorsa che soddisfa l'ambito della regola. Puoi utilizzare l'ambito per vincolare quali risorse attivano le valutazioni. In caso contrario, le valutazioni vengono attivate quando qualsiasi risorsa registrata viene modificata.

Periodic (Periodico)

AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente (ad esempio, ogni 24 ore).

Se scegli modifiche di configurazione e periodico,AWS Configrichiama la funzione Lambda quando rileva una modifica della configurazione e anche alla frequenza specificata dall'utente.

Regole di esempio con trigger

Regola di esempio con trigger di modifica della configurazione

  1. Aggiungete ilAWS Configregola gestita,S3_BUCKET_LOGGING_ENABLED, sul tuo account per verificare se i bucket Amazon S3 hanno la registrazione abilitata.

  2. Il tipo di trigger per la regola è costituito da modifiche alla configurazione.AWS Configesegue le valutazioni per la regola quando un bucket Amazon S3 viene creato, modificato o eliminato.

  3. Quando un bucket viene aggiornato, la modifica della configurazione attiva la regola e AWS Config valuta se il bucket è conforme rispetto alla regola.

Regola di esempio con trigger periodici

  1. Puoi aggiungere la regola gestita AWS Config IAM_PASSWORD_POLICY, al tuo account. La regola verifica se la policy sulla password per gli utenti IAM è conforme alla policy del tuo account, in quanto, ad esempio, richiede una lunghezza minima o caratteri specifici.

  2. Il tipo di trigger per la regola è periodico. AWS Config esegue la valutazione della regola con una frequenza specificata dall'utente, ad esempio ogni 24 ore.

  3. Ogni 24 ore viene attivata la regola eAWS Configvaluta se le password per gli utenti IAM sono conformi alla regola.

Regola di esempio con trigger periodici e di modifica della configurazione

  1. È possibile creare una regola personalizzata che valuta se CloudTrail i trail nel tuo account sono attivati e la registrazione per tutte le regioni.

  2. È consigliabile che AWS Config esegua le valutazioni per la regola ogni volta un trail viene creato, aggiornato o eliminato. È inoltre consigliabile che AWS Config esegua la regola ogni 12 ore.

  3. Per il tipo di trigger, scegli modifiche di configurazione e periodico.

Valutazioni delle regole quando il registratore della configurazione è spento

Se spegni il registratore della configurazione, AWS Config interrompe la registrazione delle modifiche alle configurazioni di risorse. Ciò influisce sulle valutazioni delle regole nei seguenti modi:

  • Le regole con un trigger periodico continuano a eseguire valutazioni alla frequenza specificata.

  • Le regole con un trigger di modifica della configurazione non eseguono le valutazioni.

  • Le regole con entrambi i tipi di trigger eseguono le valutazioni alla frequenza specificata. Le regole non eseguono le valutazioni per le modifiche delle configurazioni.

  • Se esegui una valutazione on demand per una regola con un trigger di modifica della configurazione, la regola valuta l'ultimo stato conosciuto della risorsa, ovvero l'ultimo elemento di configurazione registrato. .