As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pacotes de conformidade
Um pacote de conformidade é um conjunto de AWS Config regras e ações de remediação que podem ser facilmente implantadas como uma única entidade em uma conta e uma região ou em uma organização em. AWS Organizations
Os pacotes de conformidade são criados usando um modelo YAML criado por você que contenha a lista de regras gerenciadas ou personalizadas do AWS Config e as ações de correção. Você também pode usar AWS Systems Manager documentos (documentos SSM) para armazenar seus modelos de pacotes de conformidade AWS e implantar diretamente pacotes de conformidade usando nomes de documentos SSM. É possível implantar o modelo usando o console do AWS Config ou a AWS CLI.
Para começar rapidamente e avaliar seu AWS ambiente, use um dos exemplos de modelos de pacote de conformidade. Você também pode criar um arquivo YAML do pacote de conformidade do zero com base no Pacote de conformidade personalizado.
Tópicos
- Pré-requisitos
- Suporte regional
- AWS Config Verificações de processo em um pacote de conformidade
- Exemplos de modelos de pacote de conformidade
- Pacotes de conformidade personalizados
- Visualizar dados de conformidade no painel de controle dos pacotes de conformidade
- Visualizar o cronograma do histórico de conformidade dos pacotes de conformidade
- Implantar um pacote de conformidade usando o console do AWS Config
- Implantar um pacote de conformidade usando a AWS Command Line Interface
- Gerenciar pacotes de conformidade (API)
- Gerenciar pacotes de conformidade em todas as contas na organização
- Solução de problemas
Suporte regional
Os pacotes de conformidade são compatíveis com as seguintes regiões:
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
A implantação de pacotes de conformidade nas contas dos membros de uma AWS organização é suportada nas seguintes regiões.
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
Solução de problemas
Status de falha em um pacote de conformidade
Se você receber um erro indicando que o pacote de conformidade falhou durante a criação, a atualização ou a exclusão, verifique o status do pacote de conformidade.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Você deve ver saída semelhante ao seguinte:
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Verifique o ConformancePackStatusReasonpara obter informações sobre a falha.
When the stackArn is present in the response (Quando o stackArn está presente na resposta)
Se a mensagem de erro não estiver clara ou se a falha for por causa de um erro interno, acesse o console do AWS CloudFormation e faça o seguinte:
-
Procure o stackArn da saída.
-
Escolha a guia Eventos da CloudFormation pilha e verifique se há eventos com falha.
O motivo do status indica por que o pacote de conformidade falhou.
When the stackArn is not present in the response (Quando o stackArn não está presente na resposta)
Se você receber uma falha ao criar um pacote de conformidade, mas o StackArn não estiver presente na resposta de status, o possível motivo é que a criação da pilha falhou, reverteu e excluiu a pilha. CloudFormation Acesse o CloudFormation console e pesquise as pilhas que estão no estado Excluído. A pilha com falha pode estar disponível lá. A CloudFormation pilha contém o nome do pacote de conformidade. Se você encontrar a pilha com falha, escolha a guia Eventos da CloudFormation pilha e verifique se há eventos com falha.
Se nenhuma dessas etapas funcionou e se o motivo da falha for um erro interno do serviço, tente operar novamente ou entre em contato com o AWS Support Centro
Regras pendentes em um pacote de conformidade
A implantação de um pacote de conformidade envolve a criação de uma AWS CloudFormation pilha subjacente em segundo plano para implantar as regras no modelo do pacote de conformidade. Essas regras são regras vinculadas a serviços e não podem ser atualizadas ou excluídas fora do pacote de conformidade.
Se você fizer alterações na CloudFormation pilha subjacente, isso resultará em uma situação em que o pacote de conformidade e suas regras se tornarão incontroláveis. Essas regras incontroláveis são regras pendentes.
Deslize entre a CloudFormation pilha e o pacote de conformidade
Você pode atualizar os nomes das regras em um modelo de pacote de conformidade diretamente do CloudFormation console. Se você atualizar o modelo diretamente do CloudFormation console, isso não atualizará o pacote de conformidade implantado.
Esse desvio cria uma regra de oscilação. Se você tentar excluir a regra do pacote de conformidade, receberá um erro semelhante ao seguinte:
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Se você tentar excluir o pacote de conformidade, a regra pendente não poderá ser excluída e você receberá um erro semelhante ao seguinte:
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Para corrigir esse problema, execute as seguintes etapas:
Exclua a pilha . Para obter mais informações, consulte Excluindo uma pilha no AWS CloudFormation console no Guia do CloudFormation usuário.
Exclua o pacote de conformidade usando o AWS Config console ou usando a API DeleteConformancePack. Se for um pacote de conformidade organizacional e você estiver usando a conta de gerenciamento ou de administrador delegado, use a API. DeleteOrganizationConformancePack
Entre em contato com o AWS Support Centro
com o Amazon Resource Name (ARN) das regras pendentes no pacote de conformidade para ajudar a limpar sua conta.
Para evitar esse problema, lembre-se destas práticas recomendadas:
Nunca faça nenhuma atualização direta na CloudFormation pilha de um pacote de conformidade.
Nunca tente fazer alterações que criem um desvio entre o pacote de conformidade e sua pilha subjacente. CloudFormation
A função vinculada ao serviço (SLR) dos pacotes de conformidade não pode ser modificada. Verifique se os recursos que você está atualizando fazem parte da política de permissões da SLR.
CloudFormation Pilha excluída de um pacote de conformidade
A menos que haja um desvio entre a CloudFormation pilha e o pacote de conformidade, nunca é recomendável excluir as regras em um pacote de conformidade ou em sua CloudFormation pilha diretamente do console. CloudFormation
Para corrigir esse problema, entre em contato com o AWS Support Centro
Para evitar esse problema, lembre-se destas práticas recomendadas:
Nunca exclua a CloudFormation pilha subjacente de um pacote de conformidade.
Exclua pacotes de conformidade usando a API Pack. DeleteConformance Se for um pacote de conformidade organizacional e você estiver usando a conta de gerenciamento ou de administrador delegado, use a API. DeleteOrganizationConformancePack
