Valutazione delle risorse con regole AWS Config

AWS Config Da utilizzare per valutare le impostazioni di configurazione AWS delle risorse. A tale scopo, è necessario creare AWS Config regole che rappresentano le impostazioni di configurazione ideali. AWS Config fornisce regole personalizzabili e predefinite denominate regole gestite per aiutarti a iniziare.

Argomenti

• Considerazioni

• Supporto nelle regioni

• Componenti di una regola

• Regole gestite

• Regole personalizzate

• Regole collegate al servizio

• Regole organizzative

• Aggiungere regole

• Aggiornamento delle regole

• Eliminazione delle regole

• Visualizzazione delle regole

• Attivazione della valutazione proattiva

• Invio di valutazioni a Security Hub

• Valutazione delle risorse con le regole

• Eliminazione dei risultati della valutazione

• Risoluzione dei problemi

Considerazioni

Cost Considerations

Per informazioni dettagliate sui costi associati alla registrazione delle risorse, consulta la pagina AWS Config dei prezzi.

Consiglio: valuta la possibilità di escludere il tipo di AWS::Config::ResourceCompliance risorsa dalla registrazione prima di eliminare le regole

L'eliminazione delle regole crea elementi di configurazione (CIs) AWS::Config::ResourceCompliance che possono influire sui costi del registratore di configurazione. Se si eliminano regole che valutano un gran numero di tipi di risorse, ciò può portare a un picco nel numero di risorse registrate. CIs

Per evitare i costi associati, puoi scegliere di disabilitare la registrazione per il tipo di AWS::Config::ResourceCompliance risorsa prima di eliminare le regole e riattivare la registrazione dopo che le regole sono state eliminate.

Tuttavia, poiché l'eliminazione delle regole è un processo asincrono, il completamento potrebbe richiedere un'ora o più. Durante il periodo in cui la registrazione è disabilitataAWS::Config::ResourceCompliance, le valutazioni delle regole non verranno registrate nella cronologia della risorsa associata.

AWS Config consiglia di valutare questi fattori su una case-by-case base prima di decidere come procedere con l'eliminazione delle regole.

Raccomandazione: aggiungi la logica per gestire la valutazione delle risorse eliminate per le regole lambda personalizzate

Quando si creano regole lambda AWS Config personalizzate, si consiglia vivamente di aggiungere la logica per gestire la valutazione delle risorse eliminate.

Quando i risultati della valutazione sono contrassegnati come NOT_APPLICABLE, verranno contrassegnati per l'eliminazione e ripuliti. Se NON sono contrassegnate comeNOT_APPLICABLE, i risultati della valutazione rimarranno invariati fino all'eliminazione della regola, il che può causare un picco imprevisto nella creazione di CIs for in AWS::Config::ResourceCompliance caso di eliminazione della regola.

Per informazioni su come impostare regole lambda AWS Config personalizzate da restituire NOT_APPLICABLE per le risorse eliminate, vedi Gestione delle risorse eliminate con regole lambda AWS Config personalizzate.

Raccomandazione: fornisci le risorse previste per le regole lambda personalizzate

AWS Config Le regole Lambda personalizzate possono causare un numero elevato di chiamate di funzioni Lambda se la regola non è limitata a uno o più tipi di risorse. Per evitare un aumento dell'attività associata al tuo account, ti consigliamo vivamente di fornire risorse nell'ambito delle regole Lambda personalizzate. Se non viene selezionato alcun tipo di risorsa, la regola richiamerà la funzione Lambda per tutte le risorse dell'account.

Other considerations

Valori predefiniti per le regole gestite

I valori predefiniti specificati per le regole gestite sono precompilati solo quando si utilizza la console. AWS I valori predefiniti non sono forniti per l'API, la CLI o l'SDK.

Ritardi di registrazione degli elementi di configurazione

AWS Config in genere registra le modifiche alla configurazione delle risorse subito dopo che viene rilevata una modifica o alla frequenza specificata. Tuttavia, questa operazione viene effettuata con il massimo impegno e a volte può richiedere più tempo. Ad esempio, un tipo di risorsa con ritardi noti èAWS::SecretsManager::Secret. Questo tipo di risorsa è un esempio e questo elenco non è esaustivo.

Politiche e risultati di conformità

Le policy IAM e le altre policy gestite in AWS Organizations possono influire AWS Config sulla disponibilità delle autorizzazioni per registrare le modifiche alla configurazione delle risorse. Inoltre, le regole valutano direttamente la configurazione di una risorsa e le regole non tengono conto di queste politiche durante l'esecuzione delle valutazioni. Assicurati che le politiche in vigore siano in linea con il modo in cui intendi AWS Config utilizzarle.

Supporto per l'etichettatura per i tipi di risorse

Se un tipo di risorsa non supporta l'etichettatura o non include le informazioni sui tag nella risposta all'API di descrizione, AWS Config non acquisirà i dati dei tag negli elementi di configurazione (CIs) per quel tipo di risorsa. AWS Config registrerà comunque queste risorse. Tuttavia, qualsiasi funzionalità che si basa sui dati dei tag non funzionerà. Ciò influisce sul filtraggio, sul raggruppamento o sulla valutazione della conformità basati sui tag che si basano sui dati dei tag.

I bucket di directory non sono supportati

Le regole gestite supportano solo bucket generici durante la valutazione delle risorse di Amazon Simple Storage Service (Amazon S3). Per ulteriori informazioni sui bucket generici e sui bucket di directory, consulta la panoramica dei bucket e bucket di directory nella guida utente di Amazon S3.

Regole gestite e tipi di risorse IAM globali

I tipi di risorse IAM globali inseriti prima di febbraio 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, eAWS::IAM::User) possono essere registrati solo AWS nelle regioni AWS Config in cui AWS Config erano disponibili prima di febbraio 2022. Questi tipi di risorse non possono essere registrati nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta AWS Risorse di registrazione | Risorse globali.

Se registri un tipo di risorsa IAM globale in almeno una regione, le regole periodiche che segnalano la conformità sul tipo di risorsa IAM globale eseguiranno valutazioni in tutte le regioni in cui viene aggiunta la regola periodica, anche se non hai abilitato la registrazione del tipo di risorsa IAM globale nella regione in cui è stata aggiunta la regola periodica.

Per evitare valutazioni non necessarie, dovresti distribuire regole periodiche che segnalino la conformità su un tipo di risorsa IAM globale solo in una delle regioni supportate. Per un elenco delle regole gestite supportate in quali regioni, consulta Elenco delle regole AWS Config gestite per disponibilità regionale.

Supporto nelle regioni

Attualmente, la funzionalità AWS Config Rule è supportata nelle seguenti AWS regioni. Per un elenco delle singole AWS Config regole supportate in quali regioni, vedi Elenco delle regole AWS Config gestite per disponibilità regionale.

Nome della regione	Regione	Endpoint	Protocollo
US East (Ohio)	us-east-2	config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com	HTTPS HTTPS
US East (N. Virginia)	us-east-1	config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com	HTTPS HTTPS
Stati Uniti occidentali (California settentrionale)	us-west-1	config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com	HTTPS HTTPS
US West (Oregon)	us-west-2	config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com	HTTPS HTTPS
Africa (Cape Town)	af-south-1	config.af-south-1.amazonaws.com	HTTPS
Asia Pacifico (Hong Kong)	ap-east-1	config.ap-east-1.amazonaws.com	HTTPS
Asia Pacific (Hyderabad)	ap-south-2	config.ap-south-2.amazonaws.com	HTTPS
Asia Pacifico (Giacarta)	ap-southeast-3	config.ap-southeast-3.amazonaws.com	HTTPS
Asia Pacifico (Malesia)	ap-southeast-5	config.ap-southeast-5.amazonaws.com	HTTPS
Asia Pacifico (Melbourne)	ap-southeast-4	config.ap-southeast-4.amazonaws.com	HTTPS
Asia Pacifico (Mumbai)	ap-south-1	config.ap-south-1.amazonaws.com	HTTPS
Asia Pacifico (Nuova Zelanda)	ap-southeast-6	config.ap-southeast-6.amazonaws.com	HTTPS
Asia Pacifico (Osaka-Locale)	ap-northeast-3	config.ap-northeast-3.amazonaws.com	HTTPS
Asia Pacifico (Seoul)	ap-northeast-2	config.ap-northeast-2.amazonaws.com	HTTPS
Asia Pacifico (Singapore)	ap-southeast-1	config.ap-southeast-1.amazonaws.com	HTTPS
Asia Pacifico (Sydney)	ap-southeast-2	config.ap-southeast-2.amazonaws.com	HTTPS
Asia Pacifico (Taipei)	ap-east-2	config.ap-east-2.amazonaws.com	HTTPS
Asia Pacifico (Tailandia)	ap-southeast-7	config.ap-southeast-7.amazonaws.com	HTTPS
Asia Pacifico (Tokyo)	ap-northeast-1	config.ap-northeast-1.amazonaws.com	HTTPS
Canada (Centrale)	ca-central-1	config.ca-central-1.amazonaws.com	HTTPS
Canada occidentale (Calgary)	ca-west-1	config.ca-west-1.amazonaws.com	HTTPS
Europa (Francoforte)	eu-central-1	config.eu-central-1.amazonaws.com	HTTPS
Europa (Irlanda)	eu-west-1	config.eu-west-1.amazonaws.com	HTTPS
Europa (Londra)	eu-west-2	config.eu-west-2.amazonaws.com	HTTPS
Europa (Milano)	eu-south-1	config.eu-south-1.amazonaws.com	HTTPS
Europa (Parigi)	eu-west-3	config.eu-west-3.amazonaws.com	HTTPS
Europa (Spagna)	eu-south-2	config.eu-south-2.amazonaws.com	HTTPS
Europa (Stoccolma)	eu-north-1	config.eu-north-1.amazonaws.com	HTTPS
Europa (Zurigo)	eu-central-2	config.eu-central-2.amazonaws.com	HTTPS
Israele (Tel Aviv)	il-central-1	config.il-central-1.amazonaws.com	HTTPS
Messico (centrale)	mx-central-1	config.mx-central-1.amazonaws.com	HTTPS
Medio Oriente (Bahrein)	me-south-1	config.me-south-1.amazonaws.com	HTTPS
Medio Oriente (Emirati Arabi Uniti)	me-central-1	config.me-central-1.amazonaws.com	HTTPS
Sud America (São Paulo)	sa-east-1	config.sa-east-1.amazonaws.com	HTTPS
AWS GovCloud (Stati Uniti orientali)	us-gov-east-1	config.us-gov-east-1.amazonaws.com	HTTPS
AWS GovCloud (Stati Uniti occidentali)	us-gov-west-1	config.us-gov-west-1.amazonaws.com	HTTPS

La distribuzione AWS Config delle regole tra gli account dei membri di un' AWS organizzazione è supportata nelle seguenti regioni.

Nome della regione	Regione	Endpoint	Protocollo
US East (Ohio)	us-east-2	config.us-east-2.amazonaws.com	HTTPS
US East (N. Virginia)	us-east-1	config.us-east-1.amazonaws.com	HTTPS
Stati Uniti occidentali (California settentrionale)	us-west-1	config.us-west-1.amazonaws.com	HTTPS
US West (Oregon)	us-west-2	config.us-west-2.amazonaws.com	HTTPS
Africa (Cape Town)	af-south-1	config.af-south-1.amazonaws.com	HTTPS
Asia Pacifico (Hong Kong)	ap-east-1	config.ap-east-1.amazonaws.com	HTTPS
Asia Pacific (Hyderabad)	ap-south-2	config.ap-south-2.amazonaws.com	HTTPS
Asia Pacifico (Giacarta)	ap-southeast-3	config.ap-southeast-3.amazonaws.com	HTTPS
Asia Pacifico (Melbourne)	ap-southeast-4	config.ap-southeast-4.amazonaws.com	HTTPS
Asia Pacifico (Mumbai)	ap-south-1	config.ap-south-1.amazonaws.com	HTTPS
Asia Pacifico (Osaka-Locale)	ap-northeast-3	config.ap-northeast-3.amazonaws.com	HTTPS
Asia Pacifico (Seoul)	ap-northeast-2	config.ap-northeast-2.amazonaws.com	HTTPS
Asia Pacifico (Singapore)	ap-southeast-1	config.ap-southeast-1.amazonaws.com	HTTPS
Asia Pacifico (Sydney)	ap-southeast-2	config.ap-southeast-2.amazonaws.com	HTTPS
Asia Pacifico (Tokyo)	ap-northeast-1	config.ap-northeast-1.amazonaws.com	HTTPS
Canada (Centrale)	ca-central-1	config.ca-central-1.amazonaws.com	HTTPS
Canada occidentale (Calgary)	ca-west-1	config.ca-west-1.amazonaws.com	HTTPS
Europa (Francoforte)	eu-central-1	config.eu-central-1.amazonaws.com	HTTPS
Europa (Irlanda)	eu-west-1	config.eu-west-1.amazonaws.com	HTTPS
Europa (Londra)	eu-west-2	config.eu-west-2.amazonaws.com	HTTPS
Europa (Milano)	eu-south-1	config.eu-south-1.amazonaws.com	HTTPS
Europa (Parigi)	eu-west-3	config.eu-west-3.amazonaws.com	HTTPS
Europa (Spagna)	eu-south-2	config.eu-south-2.amazonaws.com	HTTPS
Europa (Stoccolma)	eu-north-1	config.eu-north-1.amazonaws.com	HTTPS
Europa (Zurigo)	eu-central-2	config.eu-central-2.amazonaws.com	HTTPS
Israele (Tel Aviv)	il-central-1	config.il-central-1.amazonaws.com	HTTPS
Medio Oriente (Bahrein)	me-south-1	config.me-south-1.amazonaws.com	HTTPS
Medio Oriente (Emirati Arabi Uniti)	me-central-1	config.me-central-1.amazonaws.com	HTTPS
Sud America (São Paulo)	sa-east-1	config.sa-east-1.amazonaws.com	HTTPS
AWS GovCloud (Stati Uniti orientali)	us-gov-east-1	config.us-gov-east-1.amazonaws.com	HTTPS
AWS GovCloud (Stati Uniti occidentali)	us-gov-west-1	config.us-gov-west-1.amazonaws.com	HTTPS