AWS Config 托管规则

AWS Config 提供了 AWS 托管规则（可自定义的预定义规则），AWS Config 使用这些规则来评估您的 AWS 资源是否符合常见的最佳实践。例如，您可以使用托管规则快速开始评估您的 Amazon Elastic Block Store (Amazon EBS) 卷是否已加密，或者是否对您的资源应用了特定标签。您可以设置和激活这些规则而无需通过编写代码来创建 AWS Lambda 函数，如果您想要创建自定义规则这就是必需的。AWS Config 控制台可以引导您完成托管规则的配置和激活过程。您还可以使用 AWS Command Line Interface 或 AWS Config API 来传递用于定义托管规则配置的 JSON 代码。

您可以自定义托管规则的行为以满足您的需求。例如，您可以定义规则的范围以便限定触发规则评估的资源，例如 EC2 实例或卷。您可以自定义规则的参数，以便定义您的资源为符合规则而必须具备的属性。例如，您可以自定义一个参数，以指定您的安全组应阻止传输到特定端口号的传入流量。

触发器类型

向账户添加规则后，AWS Config将您的资源与规则条件进行比较。完成这一初始评估后，AWS Config 会在每次触发评估时继续执行评估。规则中会定义评估触发器，可以包括以下类型：

配置更改

AWS Config当存在与规则范围匹配的资源并且资源的配置发生变化时，会对该规则运行评估。在 AWS Config 发送配置项更改通知后，评估便会运行。

您可以通过定义规则范围来选择哪些资源启动评估。范围可以包括：

• 一个或多个资源类型

• 资源类型和资源 ID 的组合

• 标签键和值的组合

• 当创建、更新或删除任何记录的资源时

AWS Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来定义哪些资源启动评估。

定期

AWS Config以您选择的频率运行规则评估；例如，每 24 小时运行一次。

混合动力

有些规则既有配置变更也有定期触发器。对于这些规则，在检测到配置更改时以及您指定的频率对您的资源进行AWS Config评估。

评估模式

AWS Config规则有两种评估模式：

积极主动

在部署资源之前，使用主动评估对其进行评估。鉴于您所在地区的账户中有一组主动规则，这使您可以评估一组AWS资源属性（如果用于定义资源）是 “合规” 还是 “不合规”。

有关更多信息，请参阅和评估模式。有关支持主动评估的托管规则列表，请参阅按评估模式划分的AWS Config托管规则列表。

注意

主动规则不会修复标记为 NON_COMPLANIE 的资源，也不会阻止其部署。

Detective

使用侦测评估来评估已经部署的资源。这使用来评估您的资源的配置设置。

主题

• AWS Config 托管规则的列表
• 按评估模式列出的AWS Config托管规则列表
• 按触发器类型列出的AWS Config托管规则列表
• 按区域可用性列出的AWS Config托管规则列表
• 服务相关AWS Config规则
• 使用 AWS CloudFormation 模板创建 AWS Config 托管规则