Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Valutazione delle risorse con regole AWS Config
AWS Config Da utilizzare per valutare le impostazioni di configurazione AWS delle risorse. A tale scopo, è necessario creare AWS Config regole che rappresentano le impostazioni di configurazione ideali. AWS Config fornisce regole personalizzabili e predefinite denominate regole gestite per aiutarti a iniziare. AWS Config monitora continuamente le modifiche alla configurazione che si verificano tra le risorse e verifica se queste modifiche non sono conformi con le condizioni nelle regole. Se una risorsa non è conforme alla regola, AWS Config contrassegna la risorsa e la regola come non conformi. Di seguito sono riportati i possibili risultati di valutazione per una regola: AWS Config
-
COMPLIANT: la regola supera le condizioni del controllo di conformità. -
NON_COMPLIANT: la regola non rispetta le condizioni del controllo di conformità. -
ERROR: uno dei parametri richiesti/facoltativi non è valido, non è del tipo corretto o è formattato in modo errato. -
NOT_APPLICABLE: utilizzato per filtrare le risorse a cui non può essere applicata la logica della regola. Ad esempio, la alb-desync-mode-checkregola controlla solo gli Application Load Balancer e ignora i Network Load Balancer e i Gateway Load Balancer.
Ad esempio, quando viene creato un volume EC2, AWS Config può valutare il volume in base a una regola che richiede la crittografia dei volumi. Se il volume non è crittografato, AWS Config contrassegna il volume e la regola come non conformi. AWS Config puoi anche controllare tutte le tue risorse per verificare i requisiti a livello di account. Ad esempio, AWS Config può verificare se il numero di volumi EC2 in un account rientra nel totale desiderato o se un account lo utilizza AWS CloudTrail per la registrazione.
Le regole collegate ai servizi sono un tipo unico di regola gestita che supporta altri AWS servizi per creare AWS Config regole nell'account. Queste regole sono predefinite e includono tutte le autorizzazioni necessarie per chiamare altri AWS servizi per tuo conto. Queste regole sono simili agli standard che un AWS servizio consiglia nel tuo AWS account per la verifica della conformità. Per ulteriori informazioni, consulta AWS ConfigRegole collegate ai servizi.
La AWS Config console mostra lo stato di conformità delle regole e delle risorse. Puoi vedere in che modo AWS le tue risorse sono complessivamente conformi alle configurazioni desiderate e scoprire quali risorse specifiche non sono conformi. Puoi anche utilizzare la AWS CLI, l' AWS Config API e gli AWS SDK per inviare richieste al AWS Config servizio di informazioni sulla conformità.
Utilizzando AWS Config per valutare le configurazioni delle risorse, è possibile valutare la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
Per il numero massimo di AWS Config regole per regione per account e altri limiti di servizio, consulta Limiti del AWS Config servizio.
Puoi anche creare regole personalizzate per valutare risorse aggiuntive che AWS Config non sono ancora state registrate. Per ulteriori informazioni, consultare Regole AWS Config personalizzate e Valutazione tipi di risorse aggiuntive.
Importante
Evita valutazioni non necessarie delle regole Lambda AWS Config personalizzate
Quando si creano regole lambda AWS Config personalizzate, si consiglia vivamente di aggiungere la logica per gestire la valutazione delle risorse eliminate.
Quando i risultati della valutazione sono contrassegnati come NOT_APPLICABLE, verranno contrassegnati per l'eliminazione e ripuliti. Se NON sono contrassegnati come NOT_APPLICABLE, i risultati della valutazione rimarranno invariati fino all'eliminazione della regola, il che può causare un picco imprevisto nella creazione di elementi di configurazione per ResourceCompliance al momento dell'eliminazione della regola.
Per informazioni su come impostare regole lambda AWS Config personalizzate da restituire NOT_APPLICABLE per le risorse eliminate, consulta Gestione delle risorse eliminate con regole lambda AWS Config personalizzate. AWS Config le regole gestite e le regole di policy AWS Config personalizzate gestiscono questo comportamento per impostazione predefinita.
I risultati della valutazione per le risorse eliminate possono persistere se il Configuration Recorder non è attivo
Se il registratore di configurazione è disattivato, disabilita la possibilità di tenere traccia delle AWS Config modifiche alla configurazione delle risorse, incluse le relative eliminazioni. Ciò significa che potresti vedere i risultati della valutazione per le risorse che sono state precedentemente eliminate se disattivi il registratore di configurazione.
Argomenti
- Supporto nelle regioni
- Componenti di una AWS Config regola
- Modalità di valutazione e tipi di trigger per AWS Config le regole
- Regole gestite di AWS Config
- Regole AWS Config personalizzate
- Aggiungere, aggiornare ed eliminare regole AWS Config
- Valutare le risorse con le regole AWS Config
- Eliminazione dei risultati della valutazione dalle regole AWS Config
- Gestione AWS Config delle regole per tutti gli account dell'organizzazione
- Correzione delle risorse non conformi con le regole AWS Config
Supporto nelle regioni
Attualmente, la funzionalità AWS Config Rule è supportata nelle seguenti AWS regioni. Per un elenco di quali AWS Config regole individuali sono supportate in quali regioni, vedi Elenco delle regole AWS Config gestite per disponibilità regionale.
| Nome della regione | Regione | Endpoint | Protocollo |
|---|---|---|---|
| US East (Ohio) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| US East (N. Virginia) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| Stati Uniti occidentali (California settentrionale) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| US West (Oregon) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| Africa (Cape Town) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Asia Pacifico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Asia Pacific (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Asia Pacifico (Giacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Asia Pacifico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacifico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Asia Pacifico (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Singapore) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacifico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Centrale) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Canada occidentale (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Francoforte) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londra) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milano) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Parigi) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Spagna) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Stoccolma) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurigo) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israele (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Medio Oriente (Bahrein) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| Sud America (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
La distribuzione AWS Config delle regole tra gli account dei membri di un' AWS organizzazione è supportata nelle seguenti regioni.
| Nome della regione | Regione | Endpoint | Protocollo |
|---|---|---|---|
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| US East (N. Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| US West (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Asia Pacifico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Asia Pacifico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Asia Pacifico (Seoul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Singapore) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacifico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Asia Pacifico (Tokyo) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Centrale) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Francoforte) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londra) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Parigi) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Stoccolma) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Sud America (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
