Modo de avaliação e tipos de gatilho para AWS Config Regras - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Modo de avaliação e tipos de gatilho para AWS Config Regras

Ao adicionar uma regra à sua conta, você pode especificar quando deseja no processo de criação e gerenciamento de recursos AWS Config para avaliar seus recursos. O processo de criação e gerenciamento de recursos é conhecido como provisionamento de recursos. Você escolhe o modo de avaliação para especificar quando, nesse processo, deseja AWS Config para avaliar seus recursos.

Dependendo da regra, AWS Config pode avaliar suas configurações de recursos antes de um recurso ser implantado, após a implantação de um recurso ou ambos. Avaliar um recurso antes que ele seja implantado é uma avaliação proativa. Avaliar um recurso após sua implantação é uma avaliação de detecção.

Você também pode escolher o tipo de gatilho para especificar com que frequência seu AWS Config as regras avaliam seus recursos. Os recursos podem ser avaliados quando há alterações na configuração, em um cronograma periódico ou em ambos.

Tipos de trigger

Depois de adicionar uma regra à sua conta, AWS Config compara seus recursos às condições da regra. Após essa avaliação inicial, AWS Config continua executando avaliações cada vez que uma é acionada. Os triggers de avaliação são definidos como parte da regra e podem incluir os seguintes tipos:

Tipo de gatilho Descrição
Alterações de configuração AWS Config executa avaliações para a regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada após AWS Config envia uma notificação de alteração do item de configuração.

Você escolhe quais recursos acionam a avaliação, definindo o escopo da regra. O escopo pode incluir o seguinte:

  • Um ou mais tipos de recursos

  • A combinação de um tipo de recurso e um ID de recurso

  • A combinação de uma chave de tag e valor

  • Quando os recursos registrados são criados, atualizados ou excluídos

AWS Config executa a avaliação quando detecta uma alteração em um recurso que corresponda ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações.

Periódico AWS Config executa avaliações para a regra na frequência que você escolher; por exemplo, a cada 24 horas.
Híbrida Algumas regras têm alterações na configuração e gatilhos periódicos. Para essas regras, AWS Config avalia seus recursos quando detecta uma alteração na configuração e também na frequência que você especifica.

Modos de avaliação

Há dois modos de avaliação:

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades do recurso, se usado para definir um AWS recurso, seria COMPLIANT ou NON _ COMPLIANT dado o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "AWS extensões públicas "dentro do AWS CloudFormation registro ou com o seguinte CLI comando:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciando extensões por meio do AWS CloudFormation registro e AWS referência de tipos de recursos e propriedades no AWS CloudFormation Guia do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON _ COMPLIANT nem impedem que sejam implantados.

Lista de regras gerenciadas com avaliação proativa

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de AWS Config Regras gerenciadas por modo de avaliação.

Lista de tipos de recursos compatíveis para avaliação proativa

Apresentamos uma lista dos tipos de recursos que são compatíveis com a avaliação proativa:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Exemplo de regra com avaliação proativa

Exemplo de regra proativa
  1. Você adiciona o AWS Config regra gerenciada,S3_BUCKET_LOGGING_ENABLED, para sua conta para verificar se seus buckets do S3 têm o registro ativado.

  2. Para o modo de avaliação, escolha Ativar avaliação proativa no AWS Console de gerenciamento, ou habilite PROACTIVE para EvaluationModes no PutConfigRuleAPI.

Depois de ativar a avaliação proativa, você pode usar o StartResourceEvaluationAPIe GetResourceEvaluationSummaryAPIpara verificar se um bucket em sua conta, que não foi implantado na produção, não tem o registro ativado. Isso permite que você teste as configurações dos recursos antes da implantação e reavalie se quiser implantar o recurso na produção.

Por exemplo, comece com StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::S3::Bucket", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket1\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-bucket2\",\"LogFilePrefix\":\"my-log\"}}", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Em seguida, use ResourceEvaluationId with the GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "{\"BucketName\": \"amzn-s3-demo-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"amzn-s3-demo-destination-bucket1\",\"LogFilePrefix\":\"my-log\"}}", } }

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON _COMPLIANT, use o. GetComplianceDetailsByResourceAPI

Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes.

Exemplos de regras com avaliação de detecção

Exemplo de regra acionada por alterações
  1. Você adiciona a regra gerenciada, S3_BUCKET_LOGGING_ENABLED, à sua conta para verificar se seus buckets do S3 têm o registro em log habilitado.

  2. O tipo de acionador da regra são as alterações de configuração. AWS Config executa as avaliações da regra quando um bucket do S3 é criado, alterado ou excluído.

  3. Quando um bucket é atualizado, a alteração na configuração inicia a regra e AWS Config avalia se o bucket está em conformidade com a regra.

Exemplo de regra periódica
  1. Você adiciona a regra gerenciada, IAM_PASSWORD_POLICY, à sua conta. A regra verifica se a política de senha para seus IAM usuários está em conformidade com a política da sua conta, como exigir um tamanho mínimo ou exigir caracteres específicos.

  2. O tipo de acionador da regra é periódico. AWS Config executa a avaliação da regra na frequência especificada por você, como a cada 24 horas.

  3. A cada 24 horas, a regra é iniciada e AWS Config avalia se as senhas dos seus IAM usuários estão em conformidade com a regra.

Exemplo de regra híbrida com triggers de alteração de configuração e periódico
  1. Crie uma regra personalizada que avalie se AWS CloudTrail as trilhas em sua conta estão ativadas e registradas em todas as regiões.

  2. Você quer AWS Config para executar avaliações para a regra sempre que uma trilha for criada, atualizada ou excluída. Você também quer AWS Config para executar a regra a cada 12 horas.

  3. Para o tipo de acionador, você grava a lógica tanto para a alteração da configuração quanto para os acionadores periódicos. Para obter mais informações, consulte Componentes de um AWS Config Regra: Regras de redação.

Avaliações de regras quando o gravador de configuração está desativado

Se você desligar o gravador de configuração, AWS Config interrompe o registro das alterações nas configurações de seus recursos. Isso afeta suas avaliações de regras da seguinte forma:

  • Regras com um trigger periódico continuam a executar avaliações na frequência especificada.

  • As regras acionadas por alterações não executam avaliações.

  • As regras híbridas executam avaliações somente na frequência especificada. As regras não executam avaliações para alterações de configuração.

  • Se você executa uma avaliação sob demanda para uma regra com um trigger de alteração de configuração, a regra avalia o último estado conhecido do recurso, que é o último item de configuração gravado.

Importante

Evite o desnecessário AWS Config Avaliações

As regras periódicas e as regras híbridas continuarão em execução, a menos que sejam excluídas, mesmo que você tenha desativado o gravador de configuração. Essas regras avaliarão somente os itens de configuração que foram gravados antes de o gravador de configuração ser desativado, o que significa que essas regras reproduzirão os mesmos resultados da avaliação, sem novas informações. Exclua regras periódicas e regras híbridas ao desabilitar o gravador de configuração para evitar atividades desnecessárias e avaliações de regras.