Adicionando, atualizando e excluindo regras AWS Config - AWS Config
Usar o consoleComo usar a AWS CLIUsando a referência da APIUsando o Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionando, atualizando e excluindo regras AWS Config

Você pode usar o console do AWS Config, a CLI da AWS e a API do AWS Config para exibir, adicionar e excluir suas regras.

Adicionar, visualizar, atualizar e excluir regras (console)

A página Regras mostra suas regras e seus resultados de conformidade atuais em uma tabela. O resultado para cada regra é Evaluating... (Em avaliação) até que o AWS Config termine a avaliação dos recursos em relação à regra. Você pode atualizar os resultados com o botão de atualizar. Quando o AWS Config termina as avaliações, você pode ver as regras e tipos de recursos que são compatíveis ou não compatíveis. Para obter mais informações, consulte Exibir compatibilidade de configuração.

nota

O AWS Config avalia somente os tipos de recursos que estão sendo registrados. Por exemplo, se você adicionar a regra cloudtrail-enabled, mas não registrar o tipo de recurso de trilha do CloudTrail, o AWS Config não poderá avaliar se as trilhas em sua conta são compatíveis ou não. Para obter mais informações, consulte Selecionar que recursos o AWS Config registra.

Para adicionar uma regra

  1. Faça login no AWS Management Console e abra o console do AWS Config em https://console.aws.amazon.com/config/.

  2. No menu do AWS Management Console, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Na página Rules (Regras), selecione Add rule (Adicionar regra).

  5. Na página Especificar tipo de regra, especifique o tipo de regra concluindo as seguintes etapas:

    1. Digite no campo de pesquisa para filtrar a lista de regras gerenciadas por nome, descrição e rótulo da regra. Por exemplo, digite EC2 para retornar regras que avaliam tipos de recursos do EC2, ou digite periodic (periódico) para retornar regras que possuam trigger periódico.

    2. Você também pode criar sua própria regra. Escolha Criar regra personalizada usando o Lambda ou Criar regra personalizada usando o Guard e siga o procedimento em Criação de regras AWS Config personalizadas do Lambda ou Criação de regras de política AWS Config personalizadas.

  6. Na página Configurar regra, configure sua regra concluindo as seguintes etapas:

    1. Para Name (Nome), digite um nome exclusivo para a regra.

    2. Em Descrição, digite uma descrição para a regra.

    3. No modo Avaliação, escolha quando, no processo de criação e gerenciamento de recursos, você AWS Config deseja avaliar seus recursos. Dependendo da regra, AWS Config pode avaliar suas configurações de recursos antes de um recurso ser implantado, depois de um recurso ter sido implantado, ou ambos.

      1. Escolha Ativar avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.

        Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas em sua conta na sua região.

        Para obter mais informações sobre como usar esses comandos, consulte Avaliando seus recursos com AWS Config regras. Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

      2. Escolha Ativar avaliação de detetive para avaliar as configurações de seus recursos existentes.

        Para avaliação de detetive, existem dois tipos de gatilhos: Quando a configuração muda e Periódico.

        1. Se os tipos de gatilho de sua regra incluírem alterações de configuração, especifique uma das seguintes opções para Escopo das alterações com a qual AWS Config invoca sua função Lambda:

          • Recursos — Quando um recurso que corresponde ao tipo de recurso especificado, ou ao tipo mais identificador, é criado, alterado ou excluído.

          • Tags — Quando um recurso com a tag especificada é criado, alterado ou excluído.

          • Todas as alterações — Quando um recurso registrado por AWS Config é criado, alterado ou excluído.

          O AWS Config executa a avaliação ao detectar uma alteração em um recurso, que corresponda ao escopo da regra. Você pode usar o escopo para definir quais recursos iniciam as avaliações.

        2. Se os tipos de gatilho para sua regra incluírem Periódico, especifique a frequência com a qual AWS Config invoca sua função Lambda.

    4. Para Parâmetros, você pode personalizar os valores das chaves fornecidas se sua regra incluir parâmetros. Um parâmetro é um atributo que seus recursos devem seguir antes de serem considerados compatíveis com a regra.

  7. Na página Revisar e criar, revise todas as suas seleções antes de adicionar a regra à sua AWS conta. Se sua regra não estiver funcionando conforme o esperado, você poderá ver uma das seguintes opções para Conformidade:

    • No results reported (Nenhum resultado relatado) – o AWS Config avaliou seus recursos em relação à regra. A regra não se aplicou aos recursos da AWS em seu escopo, os recursos especificados foram excluídos, ou os resultados da avaliação foram excluídos. Para obter resultados de avaliação, atualize a regra, mude seu escopo ou selecione Re-evaluate (Reavaliar).

      Essa mensagem também podem aparecer se a regra não relatar resultados de avaliação.

    • No resources in scope (Nenhum recursos no escopo) – o AWS Config não pôde avaliar seus recursos da AWS registrados em relação à regra porque nenhum dos recursos estão dentro do escopo da regra. Para obter resultados de avaliação, edite a regra e mude seu escopo, ou adicione recursos para registro do AWS Config, por meio da página Settings (Configurações).

    • Evaluations failed (Falha nas avaliações) – para obter informações que possam ajudar a determinar o problema, selecione o nome da regra para abrir sua página de detalhes e ver a mensagem de erro.

Para visualizar suas regras

  1. Faça login no AWS Management Console e abra o console do AWS Config em https://console.aws.amazon.com/config/.

  2. No menu do AWS Management Console, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. A página Regras mostra todas as regras que estão atualmente em seuConta da AWS. Ele lista o nome, a ação de remediação associada e o status de conformidade de cada regra.

    • Escolha Add rule (Adicionar regra) para iniciar a criação de uma regra.

    • Escolha uma regra para ver suas configurações ou escolha uma regra e Exibir detalhes.

    • Consulte o status de compatibilidade da regra ao avaliar seus recursos.

    • Escolha uma regra e Edite a regra para alterar as definições de configuração da regra e definir uma ação de remediação para uma regra não compatível.

Para atualizar uma regra

  1. Faça login no AWS Management Console e abra o console do AWS Config em https://console.aws.amazon.com/config/.

  2. No menu do AWS Management Console, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Escolha uma regra e Edite a regra para a regra que você deseja atualizar.

  5. Modifique as configurações na página Editar regra para alterar sua regra conforme necessário.

  6. Escolha Save (Salvar).

Para excluir uma regra

  1. Faça login no AWS Management Console e abra o console do AWS Config em https://console.aws.amazon.com/config/.

  2. No menu do AWS Management Console, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras).

  4. Escolha uma regra da tabela que você deseja excluir.

  5. Na lista suspensa Ações, escolha Excluir regra.

  6. Quando solicitado, digite “Excluir” (diferencia maiúsculas de minúsculas) e escolha Excluir.

Você pode usar a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades do recurso, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciando extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos sinalizados como NÃO COMPLIANT nem impedem que sejam implantados.

Para ativar a avaliação proativa

  1. Faça login no AWS Management Console e abra o console do AWS Config em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região compatível com AWS Config regras. Para ver a lista de AWS regiões suportadas, consulte AWS ConfigRegiões e endpoints no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras). Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

  4. Escolha uma regra e, em seguida, escolha Editar regra para a regra que você deseja atualizar.

  5. No modo de avaliação, escolha Ativar avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.

  6. Escolha Save (Salvar).

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas em sua conta na sua região.

Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

Exibir, atualizar ou adicionar e excluir regras (AWS CLI)

Para visualizar suas regras

  • Use o comando describe-config-rules:

    $ aws configservice describe-config-rules

    O AWS Config retorna os detalhes de todas as suas regras.

Para atualizar ou adicionar uma regra

  1. Use o comando put-config-rule com o parâmetro --generate-cli-skeleton para criar um arquivo JSON local que tenha os parâmetros para sua regra:

    $ aws configservice put-config-rule --generate-cli-skeleton > putConfigRule.json

  2. Abra o arquivo JSON em um editor de texto e remova os parâmetros que não precisam ser atualizados, com as seguintes exceções:

    • Incluir pelo menos um dos seguintes parâmetros para identificar a regra:

      ConfigRuleName, ConfigRuleArn, ou ConfigRuleId.

    • Se você estiver atualizando uma regra personalizada, você deve incluir o objeto Source e seus parâmetros.

  3. Preencher os valores dos parâmetros restantes. Para consultar os detalhes de sua regra, use o comando describe-config-rules.

    Por exemplo, o seguinte código JSON atualiza os tipos de recursos que estão no escopo de uma regra personalizada:

    {
  "ConfigRule": {
    "ConfigRuleName": "ConfigRuleName",
    "Scope": {
      "ComplianceResourceTypes": [
        "AWS::EC2::Instance",
        "AWS::EC2::Volume",
        "AWS::EC2::VPC"
      ]
    },
    "Source": {
      "Owner": "CUSTOM_LAMBDA",
      "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName",
      "SourceDetails": [
        {
          "EventSource": "aws.config",
          "MessageType": "ConfigurationItemChangeNotification"
        }
      ]
    }
  }
}

  4. Use o comando put-config-rule com o parâmetro --cli-input-json para passar a configuração JSON para AWS Config:

    $ aws configservice put-config-rule --cli-input-json file://putConfigRule.json

  5. Para verificar se você atualizou a regra com êxito, use o comando describe-config-rules para exibir as configurações da regra:

    $ aws configservice describe-config-rules --config-rule-name ConfigRuleName
{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "ConfigRuleName": "ConfigRuleName",
            "ConfigRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-nnnnnn",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance",
                    "AWS::EC2::Volume",
                    "AWS::EC2::VPC"
                ]
            },
            "ConfigRuleId": "config-rule-nnnnnn"
        }
    ]
}
Para excluir uma regra

  • Use o comando delete-config-rule conforme mostrado no exemplo a seguir:

    $ aws configservice delete-config-rule --config-rule-name ConfigRuleName

Você pode usar a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades do recurso, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciando extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos sinalizados como NÃO COMPLIANT nem impedem que sejam implantados.

Para ativar a avaliação proativa

Use o put-config-rulecomando e habilite PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar o comando start-resource-evaluationCLI e o comando get-resource-evaluation-summaryCLI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas em sua conta na sua região.

Por exemplo, comece com o start-resource-evaluation comando:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com o get-resource-evaluation-summary para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use o get-compliance-details-by comando -resource CLI.

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

Exibir, atualizar ou adicionar e excluir regras (API)

Para exibir suas regras

Use a ação DescribeConfigRules.

Para atualizar ou adicionar uma regra

Use a ação PutConfigRule.

Para excluir uma regra

Use a ação DeleteConfigRule.

nota

Se uma regra estiver criando resultados de avaliação que não são válidos, é recomendável excluir esses resultados antes de corrigir a regra e executar uma nova avaliação. Para obter mais informações, consulte Excluindo os resultados da avaliação dasAWS Config regras.

Você pode usar a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades do recurso, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciando extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos sinalizados como NÃO COMPLIANT nem impedem que sejam implantados.

Para ativar a avaliação proativa de uma regra

Use a PutConfigRuleação e habilite PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas em sua conta na sua região. Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

Enviando avaliações de regras para o Security Hub

Depois de adicionar uma AWS Config regra, você também pode enviar avaliações de regras paraAWS Security Hub. A integração entre o Security Hub AWS Config e o Security Hub permite que você faça a triagem e corrija as avaliações de regras junto com outras configurações incorretas e problemas de segurança.

Enviar avaliações de regras para o Security Hub

Para enviar avaliações de regras para o Security Hub, você deve primeiro configurar AWS Security Hub eAWS Config, em seguida, adicionar pelo menos uma regra AWS Config gerenciada ou personalizada. Depois disso, AWS Config imediatamente começa a enviar avaliações de regras para o Security Hub. O Security Hub enriquece as avaliações de regras e as transforma em descobertas do Security Hub.

Para obter mais informações sobre essa integração, consulte Integrações AWS de serviços disponíveis no Guia do AWS Security Hub usuário.