Valutare le risorse con le regole AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valutare le risorse con le regole AWS Config

Quando si creano regole personalizzate o si utilizzano regole gestite, AWS Config valuta le risorse in base a tali regole. Puoi anche decidere di eseguire valutazioni on demand per le risorse a fronte delle regole. Ad esempio, ciò è utile quando si crea una regola personalizzata e si desidera verificare che AWS Config stia valutando correttamente le risorse o per identificare se esiste un problema con la logica di valutazione della funzione. AWS Lambda

Esempio

  1. Crea una regola personalizzata che valuta se gli utenti IAM dispongono di chiavi di accesso attive.

  2. AWS Config valuta le risorse in base alla regola personalizzata.

  3. Nell'account è presente un utente IAM che non dispone di una chiave di accesso attiva. La regola non contrassegna correttamente questa risorsa come NON_COMPLIANT.

  4. Correggi il problema e avvii nuovamente la valutazione.

  5. Dopo la correzione, la regola valuta correttamente le risorse e contrassegna la risorsa dell'utente IAM come NON_COMPLIANT.

Quando aggiungi una regola al tuo account, puoi specificare in che momento del processo di creazione e gestione delle risorse desideri AWS Config valutare le tue risorse. Il processo di creazione e gestione delle risorse è noto come provisioning delle risorse. Scegliete la modalità di valutazione per specificare quando, in questo processo, desiderate AWS Config valutare le vostre risorse.

A seconda della regola, è AWS Config possibile valutare le configurazioni delle risorse prima che una risorsa venga distribuita, dopo la distribuzione di una risorsa o entrambe le cose. La valutazione di una risorsa prima che venga implementata è chiamata valutazione proattiva. La valutazione di una risorsa dopo che è stata implementata è chiamata valutazione dei test.

Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà delle risorse, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON_COMPLIANT, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.

Lo schema del tipo di risorsa indica le proprietà di una risorsa. Puoi trovare lo schema del tipo di risorsa nelle "estensioni AWS pubbliche" all'interno del AWS CloudFormation registro o con il seguente comando CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Per ulteriori informazioni, consulta Gestione delle estensioni tramite il AWS CloudFormation registro e il riferimento ai tipi di AWS risorse e proprietà nella Guida per l' AWS CloudFormation utente.

Nota

Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.

Valutazione delle risorse

Per attivare la valutazione proattiva

  1. Accedere AWS Management Console e aprire la AWS Config console all'indirizzo https://console.aws.amazon.com/config/.

  2. Nel AWS Management Console menu, verifica che il selettore della regione sia impostato su una regione che supporta AWS Config le regole. Per un elenco delle regioni AWS supportate, consulta Regioni ed endpoint AWS Config in Riferimenti generali di Amazon Web Services.

  3. Nel riquadro di navigazione di sinistra seleziona Rules (Regole). Per un elenco di regole gestite che supportano la valutazione proattiva, vedi Elenco delle regole AWS Config gestite per modalità di valutazione.

  4. Seleziona una regola e scegli Modifica regola per la regola che desideri aggiornare.

  5. In Modalità di valutazione, scegli Attivazione della valutazione proattiva per eseguire valutazioni sulle impostazioni di configurazione delle risorse prima che vengano implementate.

  6. Selezionare Salva.

Nota

Puoi anche attivare la valutazione proattiva utilizzando il put-config-rulecomando e abilitando PROACTIVE for EvaluationModes o utilizzando l'PutConfigRuleazione e l'abilitazione PROACTIVE per. EvaluationModes

Dopo aver attivato la valutazione proattiva, puoi utilizzare l'StartResourceEvaluationAPI e l'GetResourceEvaluationSummaryAPI per verificare se le risorse specificate in questi comandi verranno contrassegnate come NON_COMPLIANT dalle regole proattive del tuo account nella tua regione.

Ad esempio, inizia con l'API: StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Viene visualizzato ResourceEvaluationId nell'output:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Quindi, utilizza ResourceEvaluationId con l' GetResourceEvaluationSummary API per verificare il risultato della valutazione:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Riceverai un output simile al seguente:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Per visualizzare informazioni aggiuntive sul risultato della valutazione, ad esempio la regola che ha contrassegnato una risorsa come NON_COMPLIANT, utilizza l'API. GetComplianceDetailsByResource

Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.

Valutazione delle risorse (console)

  1. Accedi e apri la console all'indirizzo https://console.aws.amazon.com/config/ AWS Management Console . AWS Config

  2. Nel AWS Management Console menu, verifica che il selettore della regione sia impostato su una regione che supporta AWS Config le regole. Per un elenco delle regioni supportate, consultaRegioni ed endpoint di AWS Config nei Riferimenti generali di Amazon Web Services.

  3. Nel pannello di navigazione, scegli Regole. Nella pagina Regole sono riportati il nome, l'azione di riparazione associata e lo stato di conformità di ogni regola.

  4. Scegli una regola dalla tabella.

  5. Dall'elenco a discesa Azioni, scegli Rivaluta.

  6. AWS Config inizia a valutare le risorse in base alla tua regola.

Nota

È possibile rivalutare una regola una volta al minuto. È necessario attendere il AWS Config completamento della valutazione della regola prima di iniziare un'altra valutazione. Non puoi eseguire una valutazione mentre la regola viene aggiornata o se viene eliminata.

Valutazione delle risorse (CLI)

  • Utilizza il comando start-config-rules-evaluation:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config inizia a valutare le configurazioni delle risorse registrate rispetto alla regola. Nella richiesta si possono anche specificare più regole:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Valutazione delle risorse (API)

Usa l'azione StartConfigRulesEvaluation.