Regras gerenciadas do AWS Config - AWS Config
Tipos de gatilhoModos de avaliação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Regras gerenciadas do AWS Config

O AWS Config fornece as regras gerenciadas da AWS, que são regras predefinidas e personalizáveis, que o AWS Config usa para avaliar se seus recursos da AWS são compatíveis com as melhores práticas. Por exemplo, você pode usar uma regra gerenciada para começar a avaliar rapidamente se seus volumes do Amazon Elastic Block Store (Amazon EBS) estão criptografados ou se tags específicas estão aplicadas aos seus recursos. O console AWS Config orienta você durante o processo de configurar e ativar uma regra gerenciada. Você também pode usar o AWS Command Line Interface ou a API do AWS Config para passar o código JSON que define a configuração de uma regra gerenciada.

Você pode personalizar o comportamento de uma regra gerenciada para atender às suas necessidades. Por exemplo, você pode definir o escopo da regra para restringir quais recursos acionam uma avaliação para a regra, como instâncias ou volumes do EC2. Você pode personalizar os parâmetros da regra para definir atributos que seus recursos devem ter para ser compatíveis com a regra. Por exemplo, você pode personalizar um parâmetro para especificar que o seu grupo de segurança deve bloquear o tráfego de entrada para um número de porta específico.

Tipos de gatilho

Depois de adicionar uma regra à sua conta, AWS Config compara seus recursos com as condições da regra. Após essa avaliação inicial, o AWS Config continua a executar avaliações a cada vez que uma é acionada. Os triggers de avaliação são definidos como parte da regra e podem incluir os seguintes tipos:

Alterações de configuração

AWS Configexecuta avaliações da regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada depois que o AWS Config envia uma notificação de alteração de item de configuração.

Você escolhe quais recursos iniciarão a avaliação definindo o escopo da regra. O escopo pode incluir o seguinte:

  • Um ou mais tipos de recursos

  • A combinação de um tipo de recurso e um ID de recurso

  • A combinação de uma chave de tag e valor

  • Quando os recursos registrados são criados, atualizados ou excluídos

O AWS Config executa a avaliação ao detectar uma alteração em um recurso, que corresponda ao escopo da regra. Você pode usar o escopo para definir quais recursos iniciam as avaliações.

Periódico

AWS Configexecuta avaliações da regra na frequência que você escolher; por exemplo, a cada 24 horas.

Híbrido

Algumas regras têm alterações de configuração e acionadores periódicos. Para essas regras, AWS Config avalia seus recursos quando detecta uma alteração na configuração e também na frequência especificada.

Modos de avaliação

Há dois modos de avaliação de AWS Config regras:

Proativo

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades do recurso, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

Para obter mais informações, consulte e Modos de avaliação. Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

nota

As regras proativas não corrigem os recursos sinalizados como NÃO COMPLIANT nem impedem que sejam implantados.

Detetive

Use a avaliação de detetive para avaliar os recursos que já foram implantados. Isso permite que você avalie as definições de configuração dos seus recursos existentes.

Tópicos