Creazione AWS Config di regole politiche personalizzate - AWS Config
Utilizzo della consoleUtilizzo di AWS CLIUtilizzo dell'API Reference

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione AWS Config di regole politiche personalizzate

Puoi creare regole di policy AWS Config personalizzate dall'AWS ConfigAPI AWS Management ConsoleAWS CLI, o. Per ulteriori informazioni su come scrivere regole con Guard, vedi Writing Guard rules nella AWS CloudFormation Guard User Guide. Per ulteriori informazioni sugli schemi dei tipi di risorse supportati che AWS Config possono essere valutati, vedere Resource-types nel Resource Schema Repository. AWS Config GitHub

Importante

Lo schema AWS Config delle risorse per valutare gli elementi di configurazione è diverso dallo schema CFN per valutare i AWS CloudFormation modelli. Se utilizzi lo schema CFN per le regole della politica AWS Config personalizzata, verranno NOT_APPLICABLE restituiti i risultati della valutazione. Utilizza lo schema AWS Config delle risorse durante la creazione di regole di policy AWS Config personalizzate e scrivi politiche in base alla struttura degli elementi di configurazione. Per un elenco degli schemi di AWS Config risorse, vedere i tipi di risorse nel Resource Schema Repository. AWS Config GitHub

Creazione di regole politiche AWS Config personalizzate (console)

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. Nel AWS Management Console menu, verifica che il selettore della regione sia impostato su una AWS regione che supporta AWS Config le regole. Per l'elenco delle regioni supportate, vedere AWS ConfigRegioni ed endpoint nel Riferimenti generali di Amazon Web Services.

  3. Nel riquadro di navigazione di sinistra seleziona Rules (Regole).

  4. Nella pagina Rules (Regole) scegli Add rule (Aggiungi regola).

  5. Nella pagina Specifica il tipo di regola, scegli Crea una regola personalizzata con Guard.

  6. Nella pagina Configura regola, crea la tua regola completando i seguenti passaggi:

    1. In Nome regola, digitare un nome univoco per la regola.

    2. In Descrizione, digitare una descrizione per la regola.

    3. Per la versione runtime di Guard, scegli il sistema di runtime per la tua regola AWS Config Custom Policy.

    4. Per il contenuto delle regole, puoi compilarlo con la policy Guard Custom relativa alla tua regola. Per ulteriori informazioni sulla struttura e le funzionalità delle politiche Guard Custom, vedere le modalità operative di AWS CloudFormation Guard 2.0 nel Guard GitHub Repository.

      Nota

      Lo schema AWS Config delle risorse per valutare gli elementi di configurazione è diverso dallo schema CFN per valutare i AWS CloudFormation modelli. Se utilizzi lo schema CFN per le regole della politica AWS Config personalizzata, verranno NOT_APPLICABLE restituiti i risultati della valutazione. Utilizza lo schema AWS Config delle risorse durante la creazione di regole di policy AWS Config personalizzate e scrivi politiche in base alla struttura degli elementi di configurazione. Per un elenco degli schemi di AWS Config risorse, vedere i tipi di risorse nel Resource Schema Repository. AWS Config GitHub

      L'esempio seguente mostra la definizione della policy per una versione della regola AWS Config Custom Policy della regola AWS Config Managed. dynamodb-pitr-enabled

      # This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables
let status = ['ACTIVE']

rule tableisactive when
    resourceType == "AWS::DynamoDB::Table" {
    configuration.tableStatus == %status
}

rule checkcompliance when
    resourceType == "AWS::DynamoDB::Table"
    tableisactive {
        let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus
        %pitr == "ENABLED"
}

    5. Per la modalità di valutazione, scegli quando, nel processo di creazione e gestione delle risorse, desideri AWS Config valutare le tue risorse. A seconda della regola, AWS Config può valutare le configurazioni delle risorse prima del provisioning di una risorsa, dopo il provisioning di una risorsa o entrambi.

      1. Scegli Attiva la valutazione proattiva per consentirti di eseguire valutazioni sulle impostazioni di configurazione delle tue risorse prima che vengano distribuite.

        Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se le risorse specificate in questi comandi verranno contrassegnate come NON_COMPLIANT dalle regole proattive del tuo account nella tua regione.

        Per ulteriori informazioni sull'utilizzo di questi comandi, consulta Evaluating Your Resources with AWS Config Rules. Per un elenco di regole gestite che supportano la valutazione proattiva, vedere Elenco delle regole AWS Config gestite per modalità di valutazione.

      2. Scegli Attiva la valutazione investigativa per valutare le impostazioni di configurazione delle risorse esistenti.

        Per la valutazione investigativa, le regole della politica AWS Config personalizzata vengono avviate dalle modifiche alla configurazione. Questa opzione verrà preselezionata.

        • Risorse: quando una risorsa che corrisponde al tipo di risorsa specificato, o al tipo più identificatore, viene creata, modificata o eliminata.

        • Tag: quando una risorsa con il tag specificato viene creata, modificata o eliminata.

        • Tutte le modifiche: quando una risorsa registrata da AWS Config viene creata, modificata o eliminata.

        AWS Config esegue la valutazione quando rileva una modifica a una risorsa che soddisfa l'ambito della regola. È possibile utilizzare l'ambito per limitare le risorse che avviano le valutazioni. In caso contrario, le valutazioni vengono avviate quando viene apportata una modifica a una risorsa post-provisionata.

    6. Per Parametri, puoi personalizzare i valori per le chiavi fornite se la tua regola include parametri. Un parametro è un attributo a cui le risorse devono attenersi prima di essere considerate conformi alla regola.

  7. Nella pagina Rivedi e crea, controlla tutte le tue selezioni prima di aggiungere la regola al tuo AWS account.

  8. Al termine della revisione delle regole, scegli Aggiungi regola.

Creazione di regole politiche AWS Config personalizzate (AWS CLI)

Utilizza il comando put-config-rule.

Il Owner campo dovrebbe essereCUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatori per le regole della politica AWS Config personalizzata:

  • Runtime: il sistema di esecuzione per le regole della politica AWS Config personalizzata.

  • PolicyText: la definizione della politica contenente la logica per le regole della politica AWS Config personalizzata.

  • EnableDebugLogDelivery: l'espressione booleana per abilitare la registrazione di debug per la AWS Config regola Custom Policy. Il valore di default è false.

Creazione di regole politiche AWS Config personalizzate (API)

Usa l'azione PutConfigRule.

Il Owner campo dovrebbe essereCUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatori per le regole della politica AWS Config personalizzata:

  • Runtime: il sistema di esecuzione per le regole della politica AWS Config personalizzata.

  • PolicyText: La politica che definisce la logica per le regole della politica AWS Config personalizzata.

  • EnableDebugLogDelivery: l'espressione booleana per abilitare la registrazione di debug per la AWS Config regola Custom Policy. Il valore di default è false.