Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modalità di valutazione e tipi di trigger per AWS Config le regole
Quando aggiungi una regola al tuo account, puoi specificare quando, nel processo di creazione e gestione delle risorse, desideri AWS Config valutare le tue risorse. Il processo di creazione e gestione delle risorse è noto come fornitura di risorse. Scegli la modalità di valutazione per specificare quando in questo processo desideri AWS Config valutare le tue risorse.
A seconda della regola, AWS Config può valutare le configurazioni delle risorse prima che una risorsa sia stata distribuita, dopo che una risorsa è stata distribuita o entrambe. La valutazione di una risorsa prima che venga implementata è una valutazione proattiva. La valutazione di una risorsa dopo che è stata distribuita è una valutazione investigativa.
Puoi anche scegliere il tipo di trigger per specificare la frequenza con cui AWS Config le regole valutano le tue risorse. Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o entrambe.
Tipi di trigger
Dopo aver aggiunto una regola al tuo account, AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire valutazioni ogni volta che viene attivata. Gli eventi scatenanti della valutazione sono definiti come parte della regola e possono includere le seguenti tipologie:
- Modifiche di configurazione
-
AWS Configesegue valutazioni per la regola quando esiste una risorsa che corrisponde all'ambito della regola e si verifica una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo che AWS Config ha inviato una notifica di modifica dell'elemento di configurazione.
Sei tu a scegliere quali risorse avviare la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:
-
Uno o più tipi di risorse
-
Una combinazione di un tipo di risorsa e un ID risorsa
-
Una combinazione di una chiave e un valore di un tag
-
Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata
AWS Config esegue la valutazione quando rileva una modifica a una risorsa che soddisfa l'ambito della regola. È possibile utilizzare l'ambito per definire quali risorse avviano le valutazioni.
-
- Periodic (Periodico)
-
AWS Configesegue le valutazioni della regola con una frequenza scelta, ad esempio ogni 24 ore.
- Ibrido
-
Alcune regole prevedono sia modifiche alla configurazione che attivazioni periodiche. Per queste regole, AWS Config valuta le risorse quando rileva una modifica alla configurazione e anche alla frequenza specificata.
Modalità di valutazione
Esistono due modalità di valutazione:
Utilizza la valutazione proattiva per valutare le risorse prima che vengano distribuite. Ciò consente di valutare se un insieme di proprietà delle risorse, se utilizzato per definire una AWS risorsa, sarebbe COMPLIANT o NON_COMPLIANT dato il set di regole proattive che hai nel tuo account nella tua regione.
Lo schema del tipo di risorsa indica le proprietà di una risorsa. Puoi trovare lo schema dei tipi di risorsa in "estensioni AWS pubbliche" all'interno del AWS CloudFormation registro o con il seguente comando CLI:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
Per ulteriori informazioni, vedere Gestione delle estensioni tramite il AWS CloudFormation registro e il riferimento ai tipi di AWS risorse e proprietà nella Guida per l'AWS CloudFormationutente.
Nota
Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT né ne impediscono la distribuzione.
Elenco di regole gestite con valutazione proattiva
Per un elenco di regole gestite che supportano la valutazione proattiva, vedere Elenco delle regole AWS Config gestite per modalità di valutazione.
Elenco dei tipi di risorse supportati per la valutazione proattiva
Di seguito è riportato un elenco dei tipi di risorse supportati per la valutazione proattiva:
-
AWS::ApiGateway::Stage -
AWS::AutoScaling::AutoScalingGroup -
AWS::EC2::EIP -
AWS::EC2::Instance -
AWS::EC2::Subnet -
AWS::Elasticsearch::Domain -
AWS::Lambda::Function -
AWS::RDS::DBInstance -
AWS::Redshift::Cluster -
AWS::S3::Bucket -
AWS::SNS::Topic
Regola di esempio con valutazione proattiva
Esempio di regola proattiva
-
Aggiungi la regola AWS Config gestita
S3_BUCKET_LOGGING_ENABLED, al tuo account per verificare se i tuoi bucket S3 hanno la registrazione abilitata. -
Per la modalità di valutazione, scegli Attiva la valutazione proattiva nella Console di AWS gestione o abilita
PROACTIVEperEvaluationModesnell'PutConfigRuleAPI.
Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se un bucket del tuo account, che non è stato distribuito in produzione, non ha la registrazione abilitata. Ciò consente di testare le configurazioni delle risorse prima della distribuzione e di rivalutare se si desidera distribuire la risorsa in produzione.
Ad esempio, inizia con l'StartResourceEvaluationAPI:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
Dovresti ricevere il seguente ResourceEvaluationId messaggio in uscita:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
Quindi, utilizza ResourceEvaluationId l'GetResourceEvaluationSummaryAPI per verificare il risultato della valutazione:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
Dovresti ricevere un output simile al seguente:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}", } }
Per visualizzare informazioni aggiuntive sul risultato della valutazione, ad esempio quale regola ha contrassegnato una risorsa come NON_COMPLIANT, utilizza l'API. GetComplianceDetailsByResource
Utilizza la valutazione investigativa per valutare le risorse che sono già state impiegate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.
Regole di esempio con valutazione investigativa
Esempio di regola attivata da una modifica
-
Aggiungi la regola gestita
S3_BUCKET_LOGGING_ENABLED, al tuo account per verificare se i tuoi bucket S3 hanno la registrazione abilitata. -
Il tipo di trigger per la regola sono le modifiche alla configurazione. AWS Configesegue le valutazioni della regola quando un bucket S3 viene creato, modificato o eliminato.
-
Quando un bucket viene aggiornato, la modifica della configurazione avvia la regola e AWS Config valuta se il bucket è conforme alla regola.
Esempio di regola periodica
-
Aggiungi la regola gestita,
IAM_PASSWORD_POLICY, al tuo account. La regola verifica se la politica sulle password per gli utenti IAM è conforme alla politica del tuo account, ad esempio richiedendo una lunghezza minima o la richiesta di caratteri specifici. -
Il tipo di trigger per la regola è periodico. AWS Config esegue la valutazione della regola con una frequenza specificata dall'utente, ad esempio ogni 24 ore.
-
Ogni 24 ore, la regola viene avviata e AWS Config valuta se le password degli utenti IAM sono conformi alla regola.
Esempio di regola ibrida con modifica della configurazione e trigger periodici
-
Crea una regola personalizzata che valuti se i AWS CloudTrail percorsi nel tuo account sono attivati e registrati per tutte le regioni.
-
È consigliabile che AWS Config esegua le valutazioni per la regola ogni volta un trail viene creato, aggiornato o eliminato. È inoltre consigliabile che AWS Config esegua la regola ogni 12 ore.
-
Per il tipo di trigger, si scrive la logica sia per la modifica della configurazione che per i trigger periodici. Per ulteriori informazioni, vedere Componenti di una AWS Config regola: regole di scrittura.
Valutazioni delle regole quando il registratore della configurazione è spento
Se spegni il registratore della configurazione, AWS Config interrompe la registrazione delle modifiche alle configurazioni di risorse. Ciò influisce sulle valutazioni delle regole nei seguenti modi:
-
Le regole periodiche continuano a eseguire valutazioni alla frequenza specificata.
-
Le regole attivate da modifiche non eseguono valutazioni.
-
Le regole ibride eseguono le valutazioni solo alla frequenza specificata. Le regole non eseguono le valutazioni per le modifiche delle configurazioni.
-
Se si esegue una valutazione su richiesta per una regola con un trigger di modifica della configurazione, la regola valuta l'ultimo stato noto della risorsa, che è l'ultimo elemento di configurazione registrato.
Importante
Evita AWS Config valutazioni non necessarie
Le regole periodiche e ibride continueranno a essere eseguite a meno che non vengano eliminate, anche se il registratore di configurazione è stato spento. Queste regole valuteranno solo gli elementi di configurazione registrati prima dello spegnimento del registratore di configurazione, il che significa che riprodurranno gli stessi risultati di valutazione senza nuove informazioni. Elimina le regole periodiche e le regole ibride quando disattivi il registratore di configurazione per evitare attività e valutazioni delle regole non necessarie.
