Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modalità di valutazione e tipi di trigger per AWS Config le regole
Quando aggiungi una regola al tuo account, puoi specificare in che momento del processo di creazione e gestione delle risorse desideri AWS Config valutare le tue risorse. Il processo di creazione e gestione delle risorse è noto come provisioning delle risorse. Scegliete la modalità di valutazione per specificare quando, in questo processo, desiderate AWS Config valutare le vostre risorse.
A seconda della regola, è AWS Config possibile valutare le configurazioni delle risorse prima che una risorsa venga distribuita, dopo la distribuzione di una risorsa o entrambe le cose. La valutazione di una risorsa prima che venga implementata è chiamata valutazione proattiva. La valutazione di una risorsa dopo che è stata implementata è chiamata valutazione dei test.
Puoi scegliere anche il tipo di trigger per specificare la frequenza con cui le regole AWS Config valutano le risorse. Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o in entrambi i casi.
Tipi di trigger
Dopo aver aggiunto una regola al tuo account, AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire le valutazioni ogni volta che ne viene attivata una. Gli eventi scatenanti della valutazione sono definiti come parte della regola e possono includere le seguenti tipologie:
| Tipo di trigger | Descrizione |
|---|---|
| Modifiche di configurazione | AWS Config esegue le valutazioni della regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo l' AWS Config invio di una notifica di modifica dell'elemento di configurazione. Puoi scegliere le risorse che avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:
AWS Config esegue la valutazione quando rileva una modifica a una risorsa che corrisponde all'ambito della regola. Puoi utilizzare l'ambito per definire le risorse che avviano le valutazioni. |
| Periodic (Periodico) | AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente, ad esempio ogni 24 ore. |
| Ibrido | Alcune regole prevedono sia trigger legati alle modifiche alla configurazione che trigger periodici. Per queste regole, AWS Config valuta le risorse quando rileva una modifica della configurazione e anche alla frequenza specificata. |
Modalità di valutazione
Esistono due modalità di valutazione:
Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà delle risorse, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON CONFORME, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.
Lo schema del tipo di risorsa indica le proprietà di una risorsa. Puoi trovare lo schema del tipo di risorsa nelle "estensioni AWS pubbliche" all'interno del AWS CloudFormation registro o con il seguente comando CLI:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
Per ulteriori informazioni, consulta Gestione delle estensioni tramite il AWS CloudFormation registro e il riferimento ai tipi di AWS risorse e proprietà nella Guida per l' AWS CloudFormation utente.
Nota
Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.
Elenco di regole gestite con valutazione proattiva
Per un elenco delle regole gestite che supportano la valutazione proattiva, vedere Elenco delle regole AWS Config gestite per modalità di valutazione.
Elenco dei tipi di risorse supportati per la valutazione proattiva
Di seguito è riportato un elenco dei tipi di risorse supportati per la valutazione proattiva:
-
AWS::ApiGateway::Stage -
AWS::AutoScaling::AutoScalingGroup -
AWS::EC2::EIP -
AWS::EC2::Instance -
AWS::EC2::Subnet -
AWS::Elasticsearch::Domain -
AWS::Lambda::Function -
AWS::RDS::DBInstance -
AWS::Redshift::Cluster -
AWS::S3::Bucket -
AWS::SNS::Topic
Regola di esempio con valutazione proattiva
Regola proattiva di esempio
-
Aggiungi la regola AWS Config gestita al tuo account per verificare se i bucket S3 hanno la registrazione abilitata.
S3_BUCKET_LOGGING_ENABLED -
Per la modalità di valutazione, scegli Attiva la valutazione proattiva nella console di AWS gestione o abilita
PROACTIVEperEvaluationModesnell'API. PutConfigRule
Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se in un bucket del tuo account, che non è stato distribuito in produzione, non è abilitata la registrazione. Ciò consente di testare le configurazioni delle risorse prima dell'implementazione e di rivalutare se desideri distribuire la risorsa in produzione.
Ad esempio, inizia con l'API: StartResourceEvaluation
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Viene visualizzato ResourceEvaluationId nell'output:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Quindi, utilizza ResourceEvaluationId con l' GetResourceEvaluationSummary API per verificare il risultato della valutazione:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
Riceverai un output simile al seguente:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", } }
Per visualizzare informazioni aggiuntive sul risultato della valutazione, ad esempio la regola che ha contrassegnato una risorsa come NON_COMPLIANT, utilizza l'API. GetComplianceDetailsByResource
Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.
Regole di esempio con valutazione di test
Esempio di regola attivata dalle modifiche
-
Aggiungi la regola gestita,
S3_BUCKET_LOGGING_ENABLED, all'account per verificare se la registrazione di log è abilitata per i bucket S3. -
Il tipo di trigger per la regola sono le modifiche alla configurazione. AWS Config esegue le valutazioni della regola quando un bucket S3 viene creato, modificato o eliminato.
-
Quando un bucket viene aggiornato, la modifica alla configurazione avvia la regola e AWS Config valuta se il bucket è conforme rispetto a quest'ultima.
Esempio di regola periodica
-
Aggiungi la regola gestita,
IAM_PASSWORD_POLICY, all'account. La regola verifica se la policy delle password per gli utenti IAM è conforme alla policy del tuo account, ad esempio, se richiede una lunghezza minima o caratteri specifici. -
Il tipo di trigger per la regola è periodico. AWS Config esegue la valutazione della regola con una frequenza specificata, ad esempio ogni 24 ore.
-
Ogni 24 ore, la regola viene avviata e AWS Config valuta se le password degli utenti IAM sono conformi alla regola.
Esempio di regola ibrida con trigger periodici e di modifica alla configurazione
-
Crea una regola personalizzata che valuti se i AWS CloudTrail percorsi del tuo account sono attivi e se la registrazione è valida per tutte le regioni.
-
Vuoi AWS Config eseguire le valutazioni della regola ogni volta che un percorso viene creato, aggiornato o eliminato. Inoltre, desideri AWS Config eseguire la regola ogni 12 ore.
-
Per il tipo di trigger, scrivi la logica sia per il trigger di modifica alla configurazione e per il trigger periodico. Per ulteriori informazioni, consulta Componenti di una AWS Config regola: regole di scrittura.
Valutazioni delle regole quando il registratore della configurazione è spento
Se si spegne il registratore di configurazione, AWS Config interrompe la registrazione delle modifiche alle configurazioni delle risorse. Ciò influisce sulle valutazioni delle regole nei seguenti modi:
-
Le regole periodiche continuano a eseguire valutazioni alla frequenza specificata.
-
Le regole attivate dalle modifiche non eseguono valutazioni.
-
Le regole ibride eseguono le valutazioni solo alla frequenza specificata. Le regole non eseguono le valutazioni per le modifiche delle configurazioni.
-
Se esegui una valutazione on demand per una regola con un trigger di modifica alla configurazione, la regola valuta l'ultimo stato conosciuto della risorsa, ovvero l'ultimo elemento di configurazione registrato.
Importante
Evitate valutazioni non necessarie AWS Config
Le regole periodiche e le regole ibride continuano ad essere eseguite, a meno che non vengano eliminate, anche se hai disattivato il registratore di configurazione. Queste regole valutano solo gli elementi di configurazione che sono stati registrati prima della disattivazione del registratore di configurazione, il che significa che riproducono gli stessi risultati di valutazione senza nuove informazioni. Elimina le regole periodiche e le regole ibride quando disattivi il registratore di configurazione per evitare attività e valutazioni delle regole non necessarie.
