Creazione di regole di policy AWS Config personalizzate - AWS Config
Utilizzo della consoleUtilizzo di AWS CLITramite il documento di riferimento delle API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di regole di policy AWS Config personalizzate

Puoi creare regole di policy AWS Config personalizzate da AWS Management Console, AWS CLI o dall'API di AWS Config. Per ulteriori informazioni su come scrivere regole con Guard, consulta Scrittura di regole Guard nella Guida per l'utente di AWS CloudFormation Guard. Per ulteriori informazioni sugli schemi dei tipi di risorse supportati che AWS Config possono essere valutati, vedere resource-types nel Resource Schema Repository. AWS Config GitHub

Importante

Lo schema delle risorse AWS Config per la valutazione degli elementi di configurazione è diverso dallo schema CFN per la valutazione dei modelli AWS CloudFormation. Se utilizzi lo schema CFN per le regole di policy AWS Config personalizzate, i risultati della valutazione restituiranno NOT_APPLICABLE. Utilizza lo schema delle risorse AWS Config durante la creazione delle regole di policy AWS Config personalizzate e scrivi le policy in base alla struttura degli elementi di configurazione. Per un elenco degli schemi di AWS Config risorse, consulta resource-types nel Resource Schema Repository. AWS Config GitHub

Creazione di regole di policy AWS Config personalizzate (console)

  1. Accedi alla AWS Management Console e aprire la console di AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. Verifica che nel menu AWS Management Console lo strumento di selezione della regione sia impostato su una regione AWS in grado di supportare le regole AWS Config. Per un elenco delle regioni supportate, consulta Regioni ed endpoint AWS Config in Riferimenti generali di Amazon Web Services.

  3. Nel riquadro di navigazione di sinistra seleziona Rules (Regole).

  4. Nella pagina Rules (Regole) scegli Add rule (Aggiungi regola).

  5. Nella pagina Specifica il tipo di regola, scegli Crea una regola personalizzata utilizzando Guard.

  6. Nella pagina Configura regola, crea la regola con la seguente procedura:

    1. In Nome regola, digita un nome univoco per la regola.

    2. In Descrizione, digita una descrizione per la regola.

    3. In Versione di runtime di Guard, scegli il sistema di runtime per la regola di policy AWS Config personalizzata.

    4. In Contenuti delle regole, puoi inserire la policy Guard personalizzata per la regola. Per ulteriori informazioni sulla struttura e le funzionalità delle politiche personalizzate di Guard, consulta le modalità di funzionamento di AWS CloudFormation Guard 2.0 nel Guard Repository. GitHub

      Nota

      Lo schema delle risorse AWS Config per la valutazione degli elementi di configurazione è diverso dallo schema CFN per la valutazione dei modelli AWS CloudFormation. Se utilizzi lo schema CFN per le regole di policy AWS Config personalizzate, i risultati della valutazione restituiranno NOT_APPLICABLE. Utilizza lo schema delle risorse AWS Config durante la creazione delle regole di policy AWS Config personalizzate e scrivi le policy in base alla struttura degli elementi di configurazione. Per un elenco degli schemi di AWS Config risorse, consulta resource-types nel Resource Schema Repository. AWS Config GitHub

      L'esempio seguente mostra la definizione della policy di una versione della regola di policy AWS Config personalizzata della regola dynamodb-pitr-enabled gestita da AWS Config

      # This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables
let status = ['ACTIVE']

rule tableisactive when
    resourceType == "AWS::DynamoDB::Table" {
    configuration.tableStatus == %status
}

rule checkcompliance when
    resourceType == "AWS::DynamoDB::Table"
    tableisactive {
        let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus
        %pitr == "ENABLED"
}

    5. In Modalità di valutazione, scegli in che momento del processo di creazione e gestione delle risorse desideri che AWS Config valuti le risorse. A seconda della regola, AWS Config può valutare le configurazioni delle risorse prima che venga effettuato il provisioning della risorsa, dopo il provisioning o in entrambi i momenti.

      1. Scegli Attivazione della valutazione proattiva per eseguire valutazioni sulle impostazioni di configurazione delle risorse prima che vengano implementate.

        Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se le risorse specificate in questi comandi verranno contrassegnate come NON_COMPLIANT dalle regole proattive del tuo account nella tua regione.

        Per ulteriori informazioni sull'utilizzo di questi comandi, consulta Valutazione delle risorse con le regole AWS Config. Per un elenco delle regole gestite che supportano la valutazione proattiva, consulta Elenco di regole gestite da AWS Config in base alla modalità di valutazione.

      2. Seleziona Attivazione della valutazione dei test per valutare le impostazioni di configurazione delle risorse esistenti.

        Per la valutazione di test, le regole di policy AWS Config personalizzate vengono avviate dalle modifiche alla configurazione. Questa opzione sarà preselezionata.

        • Risorse: quando viene creata, modificata o eliminata una risorsa che corrisponde al tipo o al tipo più identificatore specificato.

        • Tag: quando viene creata, modificata o eliminata una risorsa con il tag specificato.

        • Tutte le modifiche: quando viene creata, modificata o eliminata una risorsa registrata da AWS Config.

        AWS Config esegue la valutazione quando rileva una modifica a una risorsa che soddisfa l'ambito della regola. Puoi utilizzare l'ambito per vincolare quali risorse avviano le valutazioni. Altrimenti, le valutazioni vengono avviate quando viene apportata una modifica a una risorsa dopo il suo provisioning.

    6. Se la regola include parametri, puoi personalizzare i valori delle chiavi fornite in Parametri. Un parametro è un attributo a cui le risorse devono aderire per essere considerate conformi alla regola.

  7. Nella pagina Verifica e crea, controlla tutte le selezioni prima di aggiungere la regola all'account AWS.

  8. Al termine della revisione delle regole, scegli Aggiungi regola.

Creazione di regole di policy AWS Config personalizzate (AWS CLI)

Utilizza il comando put-config-rule.

Il campo Owner deve essere CUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatori per le regole di policy AWS Config personalizzate:

  • Runtime: il sistema di runtime per le regole di policy AWS Config personalizzate.

  • PolicyText: la definizione della policy contenente la logica per le regole di policy AWS Config personalizzate.

  • EnableDebugLogDelivery: l'espressione booleana per abilitare la registrazione di log di debug per la regola di policy AWS Config personalizzata. Il valore predefinito è false.

Creazione di regole di policy AWS Config personalizzate (API)

Usa l'azione PutConfigRule.

Il campo Owner deve essere CUSTOM_POLICY. I seguenti campi aggiuntivi sono obbligatori per le regole di policy AWS Config personalizzate:

  • Runtime: il sistema di runtime per le regole di policy AWS Config personalizzate.

  • PolicyText: la policy che definisce la logica per le regole di policy AWS Config personalizzate.

  • EnableDebugLogDelivery: l'espressione booleana per abilitare la registrazione di log di debug per la regola di policy AWS Config personalizzata. Il valore predefinito è false.