Modo de avaliação e tipos de gatilho para AWS Config regras - AWS Config
Tipos de triggerModos de avaliaçãoAvaliações da regra

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Modo de avaliação e tipos de gatilho para AWS Config regras

Ao adicionar uma regra à sua conta, você pode especificar quando, no processo de criação e gerenciamento de recursos, você AWS Config deseja avaliar seus recursos. O processo de criação e gerenciamento de recursos é conhecido como provisionamento de recursos. Você escolhe o modo de avaliação para especificar quando, nesse processo, AWS Config deseja avaliar seus recursos.

Dependendo da regra, AWS Config pode avaliar suas configurações de recursos antes de um recurso ser implantado, depois de um recurso ter sido implantado ou ambos. Avaliar um recurso antes que ele seja implantado é uma avaliação proativa. Avaliar um recurso após sua implantação é uma avaliação de detecção.

Você também pode escolher o tipo de acionador para especificar com que frequência suas regras do AWS Config avaliam seus recursos. Os recursos podem ser avaliados quando há alterações na configuração, em um cronograma periódico ou em ambos.

Tipos de trigger

Depois de adicionar uma regra à sua conta, AWS Config compara seus recursos com as condições da regra. Após essa avaliação inicial, AWS Config continua executando avaliações cada vez que uma é acionada. Os triggers de avaliação são definidos como parte da regra e podem incluir os seguintes tipos:

Tipo de gatilho Descrição
Alterações de configuração AWS Config executa avaliações para a regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada após o AWS Config envio de uma notificação de alteração do item de configuração.

Você escolhe quais recursos acionam a avaliação, definindo o escopo da regra. O escopo pode incluir o seguinte:

  • Um ou mais tipos de recursos

  • A combinação de um tipo de recurso e um ID de recurso

  • A combinação de uma chave de tag e valor

  • Quando os recursos registrados são criados, atualizados ou excluídos

AWS Config executa a avaliação quando detecta uma alteração em um recurso que corresponda ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações.
Periódico AWS Config executa avaliações para a regra na frequência que você escolher; por exemplo, a cada 24 horas.
Híbrida Algumas regras têm alterações na configuração e gatilhos periódicos. Para essas regras, AWS Config avalia seus recursos quando detecta uma alteração na configuração e também na frequência que você especifica.

Modos de avaliação

Há dois modos de avaliação:

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciamento de extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Lista de regras gerenciadas com avaliação proativa

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

Lista de tipos de recursos compatíveis para avaliação proativa

Apresentamos uma lista dos tipos de recursos que são compatíveis com a avaliação proativa:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Exemplo de regra com avaliação proativa

Exemplo de regra proativa

  1. Você adiciona a regra AWS Config gerenciada,S3_BUCKET_LOGGING_ENABLED, à sua conta para verificar se seus buckets do S3 têm o registro ativado.

  2. Para o modo de avaliação, escolha Ativar avaliação proativa no AWS Management Console ou habilitar PROACTIVE para EvaluationModes na PutConfigRuleAPI.

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se um bucket em sua conta, que não foi implantado na produção, não tem o registro ativado. Isso permite que você teste as configurações dos recursos antes da implantação e reavalie se quiser implantar o recurso na produção.

Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::S3::Bucket",
                                     "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",

    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes.

Exemplos de regras com avaliação de detecção

Exemplo de regra acionada por alterações

  1. Você adiciona a regra gerenciada, S3_BUCKET_LOGGING_ENABLED, à sua conta para verificar se seus buckets do S3 têm o registro em log habilitado.

  2. O tipo de gatilho para a regra são as alterações de configuração. AWS Config executa as avaliações da regra quando um bucket do S3 é criado, alterado ou excluído.

  3. Quando um bucket é atualizado, a alteração de configuração aciona a regra e o AWS Config avalia se o bucket é compatível com a regra.

Exemplo de regra periódica

  1. Você adiciona a regra gerenciada, IAM_PASSWORD_POLICY, à sua conta. A regra verifica se a política de senha para seus usuários do IAM é compatível com a política de sua conta, como a exigência de um tamanho mínimo ou de caracteres específicos.

  2. O tipo de acionador da regra é periódico. AWS Config executa a avaliação da regra na frequência especificada por você, como a cada 24 horas.

  3. A cada 24 horas, a regra é iniciada e AWS Config avalia se as senhas dos usuários do IAM estão em conformidade com a regra.

Exemplo de regra híbrida com triggers de alteração de configuração e periódico

  1. Crie uma regra personalizada que avalie se as AWS CloudTrail trilhas em sua conta estão ativadas e registradas em todas as regiões.

  2. Você AWS Config deseja executar avaliações para a regra sempre que uma trilha for criada, atualizada ou excluída. Você também quer AWS Config executar a regra a cada 12 horas.

  3. Para o tipo de acionador, você grava a lógica tanto para a alteração da configuração quanto para os acionadores periódicos. Para obter mais informações, consulte Componentes de uma AWS Config regra: escrevendo regras.

Avaliações de regras quando o gravador de configuração está desativado

Se você desligar o gravador de configuração, AWS Config interromperá o registro das alterações nas configurações dos recursos. Isso afeta suas avaliações de regras da seguinte forma:

  • Regras com um trigger periódico continuam a executar avaliações na frequência especificada.

  • As regras acionadas por alterações não executam avaliações.

  • As regras híbridas executam avaliações somente na frequência especificada. As regras não executam avaliações para alterações de configuração.

  • Se você executa uma avaliação sob demanda para uma regra com um trigger de alteração de configuração, a regra avalia o último estado conhecido do recurso, que é o último item de configuração gravado.

Importante

Evite AWS Config avaliações desnecessárias

As regras periódicas e as regras híbridas continuarão em execução, a menos que sejam excluídas, mesmo que você tenha desativado o gravador de configuração. Essas regras avaliarão somente os itens de configuração que foram gravados antes de o gravador de configuração ser desativado, o que significa que essas regras reproduzirão os mesmos resultados da avaliação, sem novas informações. Exclua regras periódicas e regras híbridas ao desabilitar o gravador de configuração para evitar atividades desnecessárias e avaliações de regras.