Regole Lambda personalizzate (esempio Amazon EC2) - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole Lambda personalizzate (esempio Amazon EC2)

Questa procedura guida l'utente attraverso il processo di creazione di una regola Lambda personalizzata che valuta se ciascuna istanza EC2 è di tipo t2.micro.AWS Configeseguirà valutazioni basate su eventi per questa regola, il che significa che controllerà ogni volta le configurazioni delle istanzeAWS Configrileva una modifica di configurazione in un'istanza.AWS Configcontrassegnerà le istanze t2.micro come conformi e tutte le altre istanze come non conformi. Lo stato di conformità apparirà nella console AWS Config.

Per i migliori risultati con questa procedura, devi disporre di una o più istanze EC2 nell'account AWS. Le istanze devono includere una combinazione di almeno una istanza t2.micro e altri tipi.

Per creare la regola, prima si crea una funzione AWS Lambda personalizzando un piano nella console AWS Lambda. Quindi, creerai una regola Lambda personalizzata inAWS Confige associerai la regola alla funzione.

Creazione di una funzione AWS Lambda per una regola di configurazione personalizzata

  1. Accedere alla AWS Management Console e aprire la console di AWS Lambda all'indirizzo https://console.aws.amazon.com/lambda/.

  2. Verifica che nel menu AWS Management Console lo strumento di selezione della regione sia impostato su una regione che supporti le regole AWS Config. Per l'elenco delle regioni supportate, consultaAWS ConfigRegioni ed endpointnellaInformazioni generali di Amazon Web Services.

  3. NellaAWS Lambdaconsole, scegliCreazione di una funzione Lambda.

  4. Scegliere Use a blueprint (Usa un piano). Nella barra di ricerca digitaconfig-rule-change-trigger. Seleziona il piano nei risultati del filtro e selezionaConfigura.

  5. Nella pagina Configure triggers (Configura trigger) scegli Next (Successivo).

  6. SulInformazioni di base, completare questa procedura:

    1. Per Function name (Nome funzione), immettere InstanceTypeCheck.

    2. PerRuolo di esecuzione, scegliCrea un nuovo ruolo daAWSPolicy templates (Modelli di policy).

    3. Per Runtime, mantieni Node.js.

    4. PerRole Name (Nome ruolo)digita il nome.

    5. PerPolicy templates (Modelli di policy), scegliAWS ConfigAutorizzazione alle regole.

    6. PerFunzione di codice della funzione Lambda, mantieni il codice preconfigurato. Il codice Node.js per la tua funzione viene fornito nell'editor di codice. Per questa procedura, non è necessario modificare il codice.

    7. Verifica i dettagli e scegliCrea funzione. La console AWS Lambda visualizza la tua funzione.

  7. Per verificare che la tua funzione sia configurata correttamente, testala con i seguenti passaggi:

    1. ScegliereTestdal menu sottostantePanoramica delle funzionie quindi scegliereConfigura l'evento di test.

    2. PerTemplate, scegliAWS ConfigNotifica di modifica di un elemento.

    3. Digitare un nome nel campo Name (Nome).

    4. ScegliereTest.AWS Lambdatesta la funzione con l'evento di esempio. Se la funzione funziona correttamente, verrà visualizzato un messaggio di errore simile al seguente nella sezione Risultato esecuzione:

      { "errorType": "InvalidResultTokenException," "errorMessage": "Result Token provided is invalid", . . .

      La funzione InvalidResultTokenException è prevista in quanto la funzione viene eseguita con successo solo quando riceve un risultato del token da AWS Config. Il risultato del token identifica la regola AWS Config e l'evento che ha determinato la valutazione e il risultato del token associa una valutazione con una regola. Questa eccezione indica che la funzione dispone dell'autorizzazione necessaria a inviare i risultati a AWS Config. In caso contrario, viene visualizzato il seguente messaggio di errore: not authorized to perform: config:PutEvaluations. Se si verifica questo errore, aggiorna il ruolo assegnato alla funzione per consentire laconfig:PutEvaluationsazione e verifica nuovamente la funzione.

Creazione di una regola Lambda personalizzata per valutare le istanze Amazon EC2

  1. Aprire la console AWS Config all'indirizzo https://console.aws.amazon.com/config/.

  2. NellaAWS Management Consoleverifica che lo strumento di selezione della regione sia impostato sulla stessa regione in cui è stato creato ilAWS Lambdafunzione per la tua regola Lambda personalizzata.

  3. Nella pagina Rules (Regole) scegli Add rule (Aggiungi regola).

  4. SulSpecificare il tipo di regolapagina, scegliCreazione di una regola personalizzata.

  5. Nella pagina Configure rule (Configura regola) completa la procedura riportata di seguito:

    1. In Name (Nome) digitare InstanceTypesAreT2micro.

    2. In Description (Descrizione), digitare Evaluates whether EC2 instances are the t2.micro type.

    3. Per l' ARN della funzione AWS Lambda, specifica l'ARN che AWS Lambda ha assegnato per la funzione.

      Nota

      L'ARN che specifichi in questo passaggio non deve includere il qualificatore $LATEST. Puoi specificare un ARN senza un qualificatore della versione o con qualsiasi altro qualificatore $LATEST. AWS Lambda supporta la funzione Versioni multiple e a ciascuna versione viene assegnato un ARN con un qualificatore. AWS Lambda usa il qualificatore $LATEST per la versione più recente.

    4. PerTipo di trigger, scegliQuando cambia la configurazione.

    5. Per Scope of changes (Ambito delle modifiche), scegli Resources (Risorse).

    6. PerRisorse, scegliAWSIstanza EC2dagliTipo di risorseelenco a discesa.

    7. NellaParametrisezione, è necessario specificare il parametro della regola cheAWS Lambdavaluta e il valore desiderato. La funzione per questa procedura valuta il parametro desiredInstanceType.

      In Chiave digitare desiredInstanceType. In Value (Valore), digita t2.micro.

  6. Seleziona Successivo. SulRivedi e creaverifica i dettagli della tua regola e selezionaAggiunta di funzione regola. La nuova regola viene visualizzata sulRegolamento(Certificato creato).

    Compliance (Conformità) mostrerà Evaluating... (Valutazione in corso...) finché AWS Config non riceve i risultati di valutazione dalla funzione AWS Lambda. Se la regola e la funzione funzionano come previsto, viene visualizzato un riepilogo dei risultati dopo alcuni minuti. Ad esempio, il risultato 2 noncompliant resource(s) (2 risorsa/e non conforme/i) indica che 2 non sono istanze t2.micro e il risultato Compliant (Conforme) indica che tutte le istanze sono t2.micro. È possibile aggiornare i risultati con il pulsante di aggiornamento.

    Se la regola o la funzione non funziona correttamente, è possibile visualizzare uno dei risultati seguenti per Compliance (Conformità):

    • No results reported (Nessun risultato segnalato) – AWS Config le risorse sono state valutate rispetto alla regola. L'ambito della regola non si applica alle risorse AWS, le risorse specificate sono state eliminate oppure sono stati eliminati i risultati della valutazione. Per ottenere i risultati della valutazione, aggiorna la regola, modifica l'ambito o seleziona Re-evaluate (Valuta di nuovo).

      Verificare che l'ambito includaAWSIstanza EC2perRisorsee riprova.

    • No resources in scope (Nessuna risorsa nell'ambito) – AWS Config non riesce a valutare le risorse AWS registrate rispetto a questa regola perché nessuna delle risorse rientra nell'ambito della regola. Per ottenere i risultati relativi alla valutazione, modifica la regola e il suo ambito di applicazione o aggiungi risorse che AWS Config deve registrare utilizzando la pagina Settings (Impostazioni).

      Verifica che AWS Config stia registrando le istanze EC2.

    • Evaluations failed (Valutazioni non riuscite) Per le informazioni che possono aiutare a determinare il problema, scegli il nome della regola per aprire la relativa pagina dei dettagli e visualizzare il messaggio di errore.

Se la regola funziona correttamente e AWS Config fornisce i risultati della valutazione, è possibile scoprire quali condizioni influenzano lo stato della conformità della regola. È possibile scoprire quali eventuali risorse non sono conformi e perché. Per ulteriori informazioni, consultare Visualizzazione della conformità di configurazione.