Pacote de conformidade personalizado

Um pacote de conformidade personalizado é uma coleção exclusiva deAWS Config regras e ações de correção que você pode implantar em conjunto em uma conta e em umaAWS região ou em uma organizaçãoAWS Organizations.

Para criar um pacote de conformidade personalizado, siga as etapas na seção Personalização do modelo a seguir para criar um arquivo YAML que contenha a lista de regrasAWS Config gerenciadas ou regrasAWS Config personalizadas com as quais você deseja trabalhar.

nota

AWS ConfigRegras gerenciadas do são regras predefinidas de propriedade daAWS Config.

AWS ConfigRegras personalizadas do são regras que você cria do zero. Há duas maneiras de criar regrasAWS Config personalizadas: com as funções do Lambda (Guia doAWS Lambda desenvolvedor) e com o Guard (Guard GitHub Repository), uma policy-as-code linguagem. AWS Configas regras personalizadas criadas comAWS Lambda são chamadas de regras AWS Configpersonalizadas do Lambda e as regrasAWS Config personalizadas criadas com o Guard são chamadas de regras de políticaAWS Config personalizadas.

Personalizando o modelo

Criando seu arquivo YAML

Para criar um arquivo YAML, abra um editor de texto e salve o arquivo como.yaml.

nota

Seu arquivo conterá uma seção de Parâmetros e Recursos.

Parâmetros

AParameters seção em seu arquivo YAML é para os parâmetros da regra para o conjunto deAWS Config regras que você adicionará posteriormente naResources seção. Crie aParameters seção copiando e colando o seguinte bloco de código em seu arquivo YAML, personalizando-o conforme necessário e repetindo para cada parâmetro de regra.

Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Por exemplo:

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
        

nota

Ao selecionar asAWS Config Regras para criar seu pacote de conformidade personalizado, verifique se você tem os recursos provisionados em sua conta que serão avaliados de acordo com asAWS Config Regras.

1. A primeira linha na seção de parâmetros a seguirParameters: é uma sequência concatenada de NameOfRule+ Param + NameOfRuleParameter.

   1. NameOfRuleSubstitua por um nome consistente que você criar para a regra. Por exemplo, isso pode ser IamPasswordPolicypara a iam-password-policy regra.

   2. Digite Param.

   3. Em seguida,NameOfRuleParameter substitua pelo nome do parâmetro da regra específica. Para RegrasAWS Config Gerenciadas, o nome do parâmetro da regra está localizado na Lista de RegrasAWS Config Gerenciadas (por exemplo, MinimumPasswordLengthé o nome de um parâmetro de regra para a iam-password-policyregra). Para RegrasAWS Config personalizadas, o nome do parâmetro da regra é o nome que você escolheu ao criar a regra.

2. Se você estiver usando uma regraAWS Config gerenciada, encontre aAWS Config regra apropriada na lista de regras gerenciadas para saber os valores aceitos paraDefault eType para sua regra específica. Para RegrasAWS Config personalizadas, use os valores que você selecionou ao criar sua regra.

   nota

   Para cada parâmetro,Type deve ser especificado. Typepode ser uma das opções “String”, “int”, “double”, “CSV”, “boolean” e "StringMap”.

Recursos da

AResources seção lista as regras que estão sendo adicionadas ao seu Pacote de Conformidade Personalizado. Adicione oResources bloco a seguir diretamente abaixo daParameters seção, personalizando-o conforme necessário e repetindo para cada regra. Para obter mais informações sobre as especificações, consulte AWS::Config::ConfigRule.

Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Por exemplo:

Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule   
        

nota

Ao selecionar asAWS Config regras para criar seu pacote de conformidade personalizado, verifique se você tem os recursos que serão avaliados de acordo com asAWS Config regras provisionadas em sua conta. Para obter mais informações, consulte Tipos de recursos compatíveis.

1. NameOfRuleSubstitua pelo mesmo nome que você criou naParameters seção.

2. Em RegrasAWS Config gerenciadas,ActualConfigRuleName substitua pelo título da página de regras apropriada na Lista de regrasAWS Config gerenciadas. Para RegrasAWS Config personalizadas, use o nome da regra de Config que você escolheu no momento da criação da regra.

3. NameOfRuleParameterSubstitua pelo mesmo nome que você usou naParameters seção. Depois dos dois pontos, copie e cole a mesma sequência concatenada de NameOfRule+ Param + NameOfRuleParameterque você criou naParameters seção.

4. OwnerMude para o valor apropriado.

   nota

   AWS ConfigRegras gerenciadas

   Para RegrasAWS Config Gerenciadas, o valor deOwner seráAWS.

   AWS ConfigRegras personalizadas

   Para regrasAWS Config personalizadas criadas com o Guard, o valor deOwner seráCUSTOM_POLICY. Para regrasAWS Config personalizadas criadas com o Lambda, o valor deOwner seráCUSTOM_LAMBDA.

5. SOURCE_IDENTIFIERMude para o valor apropriado.

   nota

   AWS ConfigRegras gerenciadas

   Para RegrasAWS Config Gerenciadas, copie o identificador seguindo o link da regra selecionada na Lista de RegrasAWS Config Gerenciadas (por exemplo, o identificador de origem da access-keys-rotatedregra é ACCESS_KEYS_ROTATED).


   AWS ConfigRegras personalizadas

   Para regrasAWS Config personalizadas criadas com o Lambda, oSourceIdentifier é o nome de recurso da Amazon (ARN) daAWS Lambda função da regra, comoarn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName. Para regrasAWS Config personalizadas criadas com o Guard, esse campo não é necessário.

Ao todo, seu pacote de conformidade personalizado preenchido deve começar a ter uma aparência semelhante ao seguinte, que é um exemplo usando essas regrasAWS Config gerenciadas: iam-password-policyaccess-keys-rotated, e iam-user-unused-credentials-check.

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Implantando seu pacote de conformidade personalizado

Para implantar seu pacote de conformidade personalizado, consulte Implantando um pacote de conformidade usando oAWS Config console e a implantação de um pacote de conformidade usando a interface de linha deAWS Config comando.