As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Config Regras gerenciadas
AWS Config fornece regras AWS gerenciadas, que são regras predefinidas e personalizáveis AWS Config usadas para avaliar se seus AWS recursos estão em conformidade com as melhores práticas comuns. Por exemplo, você pode usar uma regra gerenciada para começar rapidamente a avaliar se os seus volumes do Amazon Elastic Block Store (Amazon EBS) são criptografados ou se tags específicas são aplicadas a seus recursos. O AWS Config console orienta você pelo processo de configuração e ativação de uma regra gerenciada. Você também pode usar a AWS Config API AWS Command Line Interface ou para transmitir o código JSON que define sua configuração de uma regra gerenciada.
Você pode personalizar o comportamento de uma regra gerenciada para atender às suas necessidades. Por exemplo, você pode definir o escopo da regra para restringir quais recursos acionam uma avaliação para a regra, como instâncias ou volumes do EC2. Você pode personalizar os parâmetros da regra para definir atributos que seus recursos devem ter para ser compatíveis com a regra. Por exemplo, você pode personalizar um parâmetro para especificar que o seu grupo de segurança deve bloquear o tráfego de entrada para um número de porta específico.
Considerações sobre custos
Para obter detalhes sobre os custos associados ao registro de recursos, consulte AWS Config preços
Recomendação: pare de registrar a conformidade dos recursos antes de excluir as regras
É altamente recomendável que você interrompa a gravação do tipo de AWS::Config::ResourceCompliance recurso antes de excluir as regras da sua conta. A exclusão de regras cria itens de configuração (CIs) AWS::Config::ResourceCompliance e pode afetar os custos do gravador AWS Config de configuração. Se você estiver excluindo regras que avaliam um grande número de tipos de recursos, isso pode levar a um aumento no número de ICs registrados.
Melhor prática:
Pare de gravar
AWS::Config::ResourceComplianceExcluir regra (s)
Ativar a gravação para
AWS::Config::ResourceCompliance
Tipos de trigger
Depois de adicionar uma regra à sua conta, AWS Config compara seus recursos com as condições da regra. Após essa avaliação inicial, AWS Config continua executando avaliações cada vez que uma é acionada. Os acionadores de avaliação são definidos como parte da regra e podem incluir os seguintes tipos.
| Tipo de gatilho | Descrição |
|---|---|
| Alterações de configuração | AWS Config executa avaliações para a regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada após o AWS Config envio de uma notificação de alteração do item de configuração. Você escolhe quais recursos acionam a avaliação, definindo o escopo da regra. O escopo pode incluir o seguinte:
AWS Config executa a avaliação quando detecta uma alteração em um recurso que corresponde ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações. |
| Periódico | AWS Config executa avaliações para a regra na frequência que você escolher; por exemplo, a cada 24 horas. |
| Híbrida | Algumas regras têm alterações na configuração e gatilhos periódicos. Para essas regras, AWS Config avalia seus recursos ao detectar uma alteração na configuração e também na frequência especificada. |
Modos de avaliação
Há dois modos de avaliação das AWS Config regras.
| Modo de avaliação | Descrição |
|---|---|
| Proativo | Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região. Para obter mais informações, consulte Modos de avaliação. Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação. |
| Detecção | Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes. |
nota
As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.
Tópicos
- Lista de regras AWS Config gerenciadas
- Lista de regras AWS Config gerenciadas por modo de avaliação
- Lista de regras AWS Config gerenciadas por tipo de acionador
- Disponibilidade da lista de regras AWS Config gerenciadas por região
- Regras vinculadas ao serviço AWS Config
- Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation
