Creazione diAWS ConfigRegole di policy personalizzate - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione diAWS ConfigRegole di policy personalizzate

Puoi creareAWS ConfigRegole dei criteri personalizzati dalAWS Management Console,AWS CLI, oppureAWS ConfigAPI. Per ulteriori informazioni su come scrivere regole con Guard, consultaWriting GuardnellaAWS CloudFormationGuida per l'utente di Guard Per ulteriori informazioni sugli schemi dei tipi di risorse supportatiAWS Configpuò valutare, vederetipi di risorsanellaAWS ConfigSchema di risorsa GitHub Repository.

Creazione diAWS ConfigRegole dei criteri personalizzati (console)

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. NellaAWS Management Console(menu), verifica che il selettore di Regione sia impostato su unAWSRegione che supportaAWS Configregole. Per l'elenco delle regioni supportate, consultaAWS ConfigRegioni ed endpointnellaRiferimento generale di Amazon Web Services.

  3. Nel riquadro di navigazione di sinistra seleziona Rules (Regole).

  4. Nella pagina Rules (Regole) scegli Add rule (Aggiungi regola).

  5. SulSpecifica il tipo di regola, scegliCrea una regola personalizzata usando Guard.

  6. SulConfigurazione regola, crea la regola completando i seguenti passaggi:

    1. PerRule name (Nome regola), digita un nome univoco per la regola.

    2. PerDescription (Descrizione), digita una descrizione per la regola.

    3. PerVersione di runtime Guard, scegli il sistema runtime per il tuoAWS ConfigRegola di policy personalizzata.

    4. PerContenuto delle regole, puoi compilarlo con il criterio Guard Custom per la tua regola. Per ulteriori informazioni sulla struttura e sulle funzionalità dei criteri Guard Custom, consultaAWS CloudFormationModalità di funzionamento di Guard 2.0nella guardia GitHub Repository.

      L'esempio seguente mostra la definizione dei criteri per unAWS ConfigVersione della regola dei criteri personalizzati delAWS ConfigRegola gestitadynamodb-pitr-enabled

      # This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables let status = ['ACTIVE'] rule tableisactive when resourceType == "AWS::DynamoDB::Table" { configuration.tableStatus == %status } rule checkcompliance when resourceType == "AWS::DynamoDB::Table" tableisactive { let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus %pitr == "ENABLED" }
    5. PerTrigger,AWS ConfigLe regole dei criteri personalizzati vengono avviate daModifiche di configurazione. Questa opzione sarà preselezionata.

      Specificare una delle seguenti opzioni perAmbito delle modifiche:

      • Risorse— Quando viene creata, modificata o eliminata una risorsa che corrisponde al tipo specificato o al tipo più identificatore.

      • Tag— Quando viene creata, modificata o eliminata una risorsa con il tag specificato.

      • Tutte le modifiche— Quando una risorsa registrata daAWS Configviene creato, modificato o eliminato.

    6. Se la regola include i parametri, nelParametri regolapuoi personalizzare i valori delle chiavi fornite. Un parametro è un attributo che le risorse devono avere per essere considerate COMPLIANT con la regola.

  7. Dopo aver terminato di modificare la regola, scegliSuccessivo. SulRivedi e creapagina, puoi rivedere tutte le tue scelte di modifica prima di aggiungere la regola al tuoAWSconto.

  8. Quando finisci di rivedere le tue regole, scegliAggiunta di regola.

Creazione diAWS ConfigRegole dei criteri personalizzate (AWS CLI)

Utilizza il comando put-config-rule.

LaOwnercampo dovrebbe essereCUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatoriAWS ConfigRegole di policy personalizzata:

  • Runtime: Il sistema runtime per il tuoAWS ConfigRegole di policy personalizzata.

  • PolicyText: la definizione del criterio contenente la logica per il tuoAWS ConfigRegole di policy personalizzata.

  • EnableDebugLogDelivery: Espressione booleana per abilitare la registrazione di debug per il tuoAWS ConfigRegola di policy personalizzata. Il valore di default è false.

Creazione diAWS ConfigRegole dei criteri personalizzati (API)

Utilizzo dell'PutConfigRuleOperazione .

LaOwnercampo dovrebbe essereCUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatoriAWS ConfigRegole di policy personalizzata:

  • Runtime: Il sistema runtime per il tuoAWS ConfigRegole di policy personalizzata.

  • PolicyText: La politica che definisce la logica per il tuoAWS ConfigRegole di policy personalizzata.

  • EnableDebugLogDelivery: Espressione booleana per abilitare la registrazione di debug per il tuoAWS ConfigRegola di policy personalizzata. Il valore di default è false.