Adicionando, atualizando e excluindo regras AWS Config - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionando, atualizando e excluindo regras AWS Config

Você pode usar o AWS Config console ou os AWS SDKs para visualizar, adicionar e excluir suas regras.

Adicionar, visualizar, atualizar e excluir regras (console)

A página Regras mostra as regras e os resultados atuais de conformidade na tabela. O resultado de cada regra é Avaliar... até AWS Config terminar de avaliar seus recursos de acordo com a regra. Você pode atualizar os resultados com o botão de atualizar. Ao AWS Config concluir as avaliações, você poderá ver as regras e os tipos de recursos que estão em conformidade ou não. Para ter mais informações, consulte Visualizando informações de conformidade e resultados da avaliação.

nota

AWS Config avalia somente os tipos de recursos que está gravando. Por exemplo, se você adicionar a regra habilitada para o cloudtrail, mas não registrar o tipo de recurso de CloudTrail trilha, não AWS Config poderá avaliar se as trilhas em sua conta estão em conformidade ou não. Para ter mais informações, consulte AWS Recursos de gravação.

Para adicionar uma regra
  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Na página Rules (Regras), selecione Add rule (Adicionar regra).

  5. Na página Especificar tipo de regra, especifique o tipo de regra concluindo as seguintes etapas:

    1. Digitar no campo de pesquisa para filtrar a lista de regras gerenciadas por nome, descrição e rótulo da regra. Por exemplo, digite EC2 para retornar regras que avaliam tipos de recursos do EC2, ou digite periodic (periódico) para retornar regras que possuam trigger periódico.

    2. Você também pode criar sua própria regra. Escolha Criar regra personalizada usando Lambda ou Criar regra personalizada usando o Guard e siga o procedimento em Criação de regras personalizadas do AWS Config Lambda ou AWS Config Criação de regras de política personalizadas.

  6. Na página Configurar regra, configure a regra através das seguintes etapas:

    1. Para Name (Nome), digite um nome exclusivo para a regra.

    2. Em Descrição, digite uma descrição para a regra.

    3. No Modo de avaliação, escolha quando, no processo de criação e gerenciamento de recursos, você AWS Config deseja avaliar seus recursos. Dependendo da regra, AWS Config pode avaliar suas configurações de recursos antes de um recurso ser implantado, depois de um recurso ter sido implantado ou ambos.

      1. Escolha Ativar a avaliação proativa para permitir que você execute avaliações nas configurações de seus recursos antes de serem implantados.

        Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas da sua conta na sua região.

        Para obter mais informações sobre como usar esses comandos, consulte Avaliando seus recursos com AWS Config regras. Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

      2. Escolha Ativar a avaliação de detecção para avaliar as definições de configuração de seus recursos existentes.

        Para avaliação de detecção, existem dois tipos de gatilhos: Quando a configuração muda e Periódico.

        1. Se os tipos de gatilho da sua regra incluírem alterações de configuração, especifique uma das seguintes opções para Escopo de alterações com o qual AWS Config invoca sua função Lambda:

          • Recursos: quando um recurso que corresponde ao tipo de recurso especificado, ou ao tipo mais identificador, é criado, alterado ou excluído.

          • Tags: quando um recurso com a tag especificada é criado, alterado ou excluído.

          • Todas as alterações — Quando um recurso registrado por AWS Config é criado, alterado ou excluído.

          AWS Config executa a avaliação quando detecta uma alteração em um recurso que corresponde ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações.

        2. Se os tipos de gatilho da sua regra incluírem Periódico, especifique a frequência com a qual AWS Config invoca sua função Lambda.

    4. Para Parâmetros, você poderá personalizar os valores das chaves fornecidas, se sua regra incluir parâmetros. Um parâmetro é um atributo que seus recursos devem ter antes de serem considerados compatíveis com a regra.

  7. Na página Revisar e criar, revise todas as suas seleções antes de adicionar a regra à sua AWS conta. Se a regra ou a função não funcionar como esperado, você pode consultar uma das opções abaixo para Compatibilidade:

    • Nenhum resultado relatado - AWS Config avaliou seus recursos de acordo com a regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos. Para obter resultados de avaliação, atualize a regra, mude seu escopo ou selecione Re-evaluate (Reavaliar).

      Essa mensagem também podem aparecer se a regra não relatar resultados de avaliação.

    • Nenhum recurso no escopo - AWS Config não é possível avaliar seus AWS recursos registrados em relação a essa regra porque nenhum de seus recursos está dentro do escopo da regra. Para obter os resultados da avaliação, edite a regra e altere seu escopo ou adicione recursos AWS Config para registrar usando a página Configurações.

    • Evaluations failed (Falha nas avaliações) – para obter informações que possam ajudar a determinar o problema, selecione o nome da regra para abrir sua página de detalhes e ver a mensagem de erro.

Para visualizar suas regras
  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. A página Regras mostra todas as regras que estão atualmente em seu Conta da AWS. Ela lista o nome, a ação de correção associada e o status de conformidade de cada regra.

    • Escolha Add rule (Adicionar regra) para iniciar a criação de uma regra.

    • Escolha uma regra para ver suas configurações ou escolha uma regra e Exibir detalhes.

    • Consulte o status de compatibilidade da regra ao avaliar seus recursos.

    • Escolha uma regra e Editar regra para alterar as configurações da regra e definir uma ação de correção para uma regra não compatível.

Para atualizar uma regra
  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Escolha o ícone Editar regra para a regra que você deseja atualizar.

  5. Modifique as configurações na página Editar regra para alterar a regra, conforme necessário.

  6. Escolha Salvar.

Para excluir uma regra
  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Escolha uma regra da tabela que você deseja excluir.

  5. Na lista suspensa Ações, escolha Excluir regra.

  6. Quando solicitado, digite “Excluir” (diferencia maiúsculas de minúsculas) e escolha Excluir.

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciamento de extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa
  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que ofereça suporte a AWS Config regras. Para obter a lista das regiões da AWS compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras). Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

  4. Escolha uma regra e, em seguida, escolha Editar regra para a regra que você deseja atualizar.

  5. Para o Modo de avaliação, escolha Ativar a avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.

  6. Escolha Salvar.

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas da sua conta na sua região.

Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

Exibir, atualizar ou adicionar e excluir regras (AWS SDKs)

Os exemplos de códigos a seguir mostram como usar DescribeConfigRules.

CLI
AWS CLI

Para obter detalhes de uma regra AWS Config

O comando a seguir retorna detalhes de uma regra de AWS Config chamada: InstanceTypesAreT2micro

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

Saída:

{ "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "ConfigRuleName": "InstanceTypesAreT2micro", "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "ConfigRuleId": "config-rule-abcdef" } ] }
PowerShell
Ferramentas para PowerShell

Exemplo 1: Este exemplo lista as regras de configuração da conta, com propriedades selecionadas.

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

Saída:

ConfigRuleName ConfigRuleId ConfigRuleArn ConfigRuleState -------------- ------------ ------------- --------------- ALB_REDIRECTION_CHECK config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE access-keys-rotated config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE autoscaling-group-elb-healthcheck-required config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
  • Para obter detalhes da API, consulte DescribeConfigRulesem Referência de AWS Tools for PowerShell cmdlet.

Python
SDK para Python (Boto3).
nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository.

class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def describe_config_rule(self, rule_name): """ Gets data for the specified rule. :param rule_name: The name of the rule to retrieve. :return: The rule data. """ try: response = self.config_client.describe_config_rules( ConfigRuleNames=[rule_name] ) rule = response["ConfigRules"] logger.info("Got data for rule %s.", rule_name) except ClientError: logger.exception("Couldn't get data for rule %s.", rule_name) raise else: return rule
  • Para obter detalhes da API, consulte a DescribeConfigRulesReferência da API AWS SDK for Python (Boto3).

Os exemplos de códigos a seguir mostram como usar PutConfigRule.

CLI
AWS CLI

Para adicionar uma regra de Config AWS gerenciada

O comando a seguir fornece código JSON para adicionar uma regra Config AWS gerenciada:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json é um arquivo JSON que contém a configuração da regra:

{ "ConfigRuleName": "RequiredTagsForEC2Instances", "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "AWS", "SourceIdentifier": "REQUIRED_TAGS" }, "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}" }

Para o ComplianceResourceTypes atributo, esse código JSON limita o escopo a recursos do AWS::EC2::Instance tipo, então o AWS Config avaliará somente instâncias do EC2 em relação à regra. Como a regra é uma regra gerenciada, o atributo Owner é definido como AWS e o atributo SourceIdentifier é definido como o identificador da regra, REQUIRED_TAGS. Para o atributo InputParameters, as chaves de tag exigidas pela regra, CostCenter e Owner são especificados.

Se o comando for bem-sucedido, o AWS Config não retornará nenhuma saída. Para verificar a configuração da regra, execute o describe-config-rules comando e especifique o nome da regra.

Como adicionar uma regra do Config gerenciada pelo cliente

O seguinte comando fornece o código JSON para adicionar uma regra do Config gerenciada pelo cliente:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json é um arquivo JSON que contém a configuração da regra:

{ "ConfigRuleName": "InstanceTypesAreT2micro", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}" }

Para o ComplianceResourceTypes atributo, esse código JSON limita o escopo a recursos do AWS::EC2::Instance tipo, então o AWS Config avaliará somente instâncias do EC2 em relação à regra. Como essa regra é uma regra gerenciada pelo cliente, o Owner atributo é definido comoCUSTOM_LAMBDA, e o SourceIdentifier atributo é definido como o ARN da função Lambda AWS . O SourceDetails objeto é obrigatório. Os parâmetros especificados para o InputParameters atributo são passados para a função AWS Lambda quando o AWS Config a invoca para avaliar os recursos em relação à regra.

Se o comando for bem-sucedido, o AWS Config não retornará nenhuma saída. Para verificar a configuração da regra, execute o describe-config-rules comando e especifique o nome da regra.

  • Para obter detalhes da API, consulte PutConfigRuleem Referência de AWS CLI Comandos.

Python
SDK para Python (Boto3).
nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository.

class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def put_config_rule(self, rule_name): """ Sets a configuration rule that prohibits making Amazon S3 buckets publicly readable. :param rule_name: The name to give the rule. """ try: self.config_client.put_config_rule( ConfigRule={ "ConfigRuleName": rule_name, "Description": "S3 Public Read Prohibited Bucket Rule", "Scope": { "ComplianceResourceTypes": [ "AWS::S3::Bucket", ], }, "Source": { "Owner": "AWS", "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED", }, "InputParameters": "{}", "ConfigRuleState": "ACTIVE", } ) logger.info("Created configuration rule %s.", rule_name) except ClientError: logger.exception("Couldn't create configuration rule %s.", rule_name) raise
  • Para obter detalhes da API, consulte a PutConfigRuleReferência da API AWS SDK for Python (Boto3).

Os exemplos de códigos a seguir mostram como usar DeleteConfigRule.

CLI
AWS CLI

Para excluir uma regra de AWS Config

O comando a seguir exclui uma regra de AWS Config chamada: MyConfigRule

aws configservice delete-config-rule --config-rule-name MyConfigRule
  • Para obter detalhes da API, consulte DeleteConfigRuleem Referência de AWS CLI Comandos.

Python
SDK para Python (Boto3).
nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository.

class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def delete_config_rule(self, rule_name): """ Delete the specified rule. :param rule_name: The name of the rule to delete. """ try: self.config_client.delete_config_rule(ConfigRuleName=rule_name) logger.info("Deleted rule %s.", rule_name) except ClientError: logger.exception("Couldn't delete rule %s.", rule_name) raise
  • Para obter detalhes da API, consulte a DeleteConfigRuleReferência da API AWS SDK for Python (Boto3).

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciamento de extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa

Use o comando put-config-rule e habilite PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar o comando start-resource-evaluationCLI e o comando get-resource-evaluation-summaryCLI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas da sua conta na sua região.

Por exemplo, comece com o comando start-resource-evaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Em seguida, use ResourceEvaluationId com o get-resource-evaluation-summary para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use o comando get-compliance-details-by -resource CLI.

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciamento de extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa de uma regra

Use a PutConfigRuleação e habilite PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas da sua conta na sua região. Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

Enviar avaliações de regras para o Security Hub

Depois de adicionar uma AWS Config regra, você também pode enviar avaliações de regras para AWS Security Hub. A integração entre o Security Hub AWS Config e o Security Hub permite que você faça a triagem e corrija as avaliações de regras junto com outras configurações incorretas e problemas de segurança.

Envie avaliações de regras para o Security Hub

Para enviar avaliações de regras para o Security Hub, você deve primeiro configurar AWS Security Hub e AWS Config, em seguida, adicionar pelo menos uma regra AWS Config gerenciada ou personalizada. Depois disso, começa AWS Config imediatamente a enviar avaliações de regras para o Security Hub. O Security Hub enriquece as avaliações de regras e as transforma em descobertas do Security Hub.

Para obter mais informações sobre essa integração, consulte Integrações AWS de serviços disponíveis no Guia do AWS Security Hub usuário.