Regole di policy personalizzate Regole Lambda personalizzate Considerazioni sui costi Tipi di trigger Modalità di valutazione

AWS Config Regole personalizzate

AWS Config Le regole personalizzate sono regole che puoi creare da zero. Esistono due modi per creare regole AWS Config personalizzate: con le funzioni Lambda (AWS Lambda Developer Guide) e con Guard (Guard GitHub Repository), un linguaggio. policy-as-code

AWS Config le regole personalizzate create con Lambda sono chiamate Regole AWS Config Lambda AWS Config personalizzate e le regole personalizzate create con Guard sono chiamate AWS Config Regole di policy personalizzate.

AWS Config Regole di policy personalizzate

Le regole scritte utilizzando Guard possono essere create dalla AWS Config console o utilizzando le API delle AWS Config regole. AWS Config Le regole Custom Policy consentono di creare regole AWS Config personalizzate senza dover utilizzare Java o Python per sviluppare funzioni Lambda per gestire le regole personalizzate. AWS Config Le regole Custom Policy vengono avviate mediante modifiche alla configurazione. Per ulteriori informazioni su Guard, consulta il Guard GitHub Repository.

AWS Config Regole Lambda personalizzate

Le regole Lambda personalizzate offrono la possibilità di utilizzare Java o Python per creare una funzione Lambda per una regola personalizzata. AWS Config Una funzione Lambda è codice personalizzato su cui si carica e viene richiamata da eventi pubblicati su di essa da un'origine di eventi. AWS Lambda Se la funzione Lambda è associata a una AWS Config regola, la AWS Config richiama all'avvio della regola. La funzione Lambda valuta quindi le informazioni di configurazione inviate da e restituisce AWS Config i risultati della valutazione. Per ulteriori informazioni sulle funzioni Lambda, consulta Origini di eventi e funzioni nella Guida per gli sviluppatori di AWS Lambda .

Considerazioni sui costi

Per i dettagli sui costi associati alla registrazione delle risorse, consulta AWS Config i prezzi.

Consiglio: aggiungi la logica per gestire la valutazione delle risorse eliminate per le regole lambda personalizzate

Quando si creano regole lambda AWS Config personalizzate, si consiglia vivamente di aggiungere la logica per gestire la valutazione delle risorse eliminate.

Quando i risultati della valutazione sono contrassegnati come NOT_APPLICABLE, verranno contrassegnati per l'eliminazione e ripuliti. Se NON sono contrassegnati come NOT_APPLICABLE, i risultati della valutazione rimarranno invariati fino all'eliminazione della regola, il che può causare un picco imprevisto nella creazione di elementi di configurazione per AWS::Config::ResourceCompliance al momento dell'eliminazione della regola.

Per informazioni su come impostare regole lambda AWS Config personalizzate da restituire NOT_APPLICABLE per le risorse eliminate, consulta Gestione delle risorse eliminate con regole lambda AWS Config personalizzate.

Raccomandazione: fornisci le risorse previste per le regole lambda personalizzate

AWS Config Le regole Lambda personalizzate possono causare un numero elevato di chiamate di funzioni Lambda se la regola non è limitata a uno o più tipi di risorse. Per evitare un aumento dell'attività associata al tuo account, ti consigliamo vivamente di fornire risorse nell'ambito delle regole Lambda personalizzate. Se non viene selezionato alcun tipo di risorsa, la regola richiamerà la funzione Lambda per tutte le risorse dell'account.

Consiglio: interrompi la registrazione della conformità delle risorse prima di eliminare le regole

Si consiglia vivamente di interrompere la registrazione per il tipo di AWS::Config::ResourceCompliance risorsa prima di eliminare le regole nell'account. L'eliminazione delle regole crea CI AWS::Config::ResourceCompliance e può influire sui costi del registratore AWS Config di configurazione. Se si eliminano regole che valutano un gran numero di tipi di risorse, ciò può portare a un picco nel numero di CI registrati.

Procedura ottimale:

Interrompi la registrazione AWS::Config::ResourceCompliance
Eliminare regole
Attiva la registrazione per AWS::Config::ResourceCompliance

Tipi di trigger

Dopo aver aggiunto una regola al tuo account, AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire le valutazioni ogni volta che ne viene attivata una. I trigger di valutazione sono definiti come parte della regola e possono includere i seguenti tipi.

Tipo di trigger	Descrizione
Modifiche di configurazione	AWS Config esegue le valutazioni della regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo l' AWS Config invio di una notifica di modifica dell'elemento di configurazione. Puoi scegliere le risorse che avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue: Uno o più tipi di risorse Una combinazione di un tipo di risorsa e un ID risorsa Una combinazione di una chiave e un valore di un tag Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata AWS Config esegue la valutazione quando rileva una modifica a una risorsa che corrisponde all'ambito della regola. Puoi utilizzare l'ambito per definire le risorse che avviano le valutazioni.
Periodic (Periodico)	AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente, ad esempio ogni 24 ore.
Ibrido	Alcune regole prevedono sia trigger legati alle modifiche alla configurazione che trigger periodici. Per queste regole, AWS Config valuta le risorse quando rileva una modifica della configurazione e anche alla frequenza specificata dall'utente.

Tipo di trigger

Descrizione

Modifiche di configurazione

AWS Config esegue le valutazioni della regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo l' AWS Config invio di una notifica di modifica dell'elemento di configurazione.

Puoi scegliere le risorse che avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:

Uno o più tipi di risorse
Una combinazione di un tipo di risorsa e un ID risorsa
Una combinazione di una chiave e un valore di un tag
Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata

AWS Config esegue la valutazione quando rileva una modifica a una risorsa che corrisponde all'ambito della regola. Puoi utilizzare l'ambito per definire le risorse che avviano le valutazioni.

Periodic (Periodico)

AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente, ad esempio ogni 24 ore.

Ibrido

Alcune regole prevedono sia trigger legati alle modifiche alla configurazione che trigger periodici. Per queste regole, AWS Config valuta le risorse quando rileva una modifica della configurazione e anche alla frequenza specificata dall'utente.

Modalità di valutazione

Esistono due modalità di valutazione delle AWS Config regole.

Modalità di valutazione	Descrizione
Proattiva	Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà della risorsa, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON CONFORME, in base all'insieme di regole proattive che hai nel tuo account nella tua regione. Per ulteriori informazioni, consulta Modalità di valutazione. Per un elenco di regole gestite che supportano la valutazione proattiva, vedi Elenco delle regole gestite per modalità di valutazione. AWS Config
Test	Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.

Modalità di valutazione

Descrizione

Proattiva

Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà della risorsa, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON CONFORME, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.

Per ulteriori informazioni, consulta Modalità di valutazione. Per un elenco di regole gestite che supportano la valutazione proattiva, vedi Elenco delle regole gestite per modalità di valutazione. AWS Config

Test

Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.

Nota

Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di regole gestite conAWS CloudFormation modelli

Creazione di regole di policy personalizzate