在合规包中进行 AWS Config 流程检查 - AWS Config
用于创建流程检查的样本合规包模板在合规包中包括流程检查更改流程检查的合规性状态查看和编辑流程检查(控制台)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在合规包中进行 AWS Config 流程检查

流程检查是一种 AWS Config 规则,允许您跟踪需要作为合规包的一部分进行验证的外部和内部任务。可以将这些检查添加到现有合规包或新的合规包中。您可以在一个位置跟踪所有合规性,包括 AWS Config 配置和手动检查。

通过流程检查,您可以在单个位置列出要求和操作的合规性。这些流程检查有助于扩大基于合规制度的合规包的覆盖范围。您可以通过添加新的流程检查来进一步扩展合规包,以跟踪需要手动验证和跟踪的流程和操作。这使合规包成为提供有关 AWS Config 配置和合规制度手动流程的详细信息的模板。

您可以将合规包中与资源配置更改无关的流程的合规性作为流程检查进行跟踪和管理。例如,您可以添加流程检查来跟踪将媒体备份存储在异地位置的 PCI-DSS 合规性要求。您将根据 PCI-DSS 指南或贵组织的指导手动评估其合规性。

区域可用性:在所有提供 AWS Config 合规包的 AWS 区域都可以对合规包进行流程检查。有关更多信息,请参阅区域支持

用于创建流程检查的样本合规包模板

################################################################################
#
#  Conformance Pack template for process check
#
################################################################################
Resources:
  AWSConfigProcessCheck:
    Properties:
      ConfigRuleName: RuleName
      Description: Description of Rule
      Source:
        Owner: AWS
        SourceIdentifier: AWS_CONFIG_PROCESS_CHECK
    Type: AWS::Config::ConfigRule

查看两个示例模板,即 CIS AWS 基金会运营最佳实践基准 v1.4 第 1 级 模板和 CIS AWS 基金会运营最佳实践基准 v1.4 第 2 级 模板。

在合规包中包括流程检查

  1. 在合规包模板中添加流程检查。请参阅前面的示例模板。

    Resources:
  ConfigEnabledAllRegions:
    Properties:
      ConfigRuleName: Config-Enabled-All-Regions
      Description: Ensure AWS Config is enabled in all Regions.
      Source:
        Owner: AWS
        SourceIdentifier: AWS_CONFIG_PROCESS_CHECK
    Type: AWS::Config::ConfigRule

  2. 输入流程检查的名称。

  3. 输入流程检查的描述。

  4. 从 AWS 管理控制台部署合规包。有关更多信息,请参阅使用 AWS Config 控制台部署一致性包

    注意

    您可以使用命令行界面 (AWS CLI) 部署合规包。有关更多信息,请参阅使用 AWS Command Line Interface部署一致性包

更改流程检查的合规性状态

更改流程检查的合规性状态(控制台)

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/

  2. 导航到“AWS Config 规则”页面。

  3. 选择您在模板中指定的流程检查的名称,以及合规包中的标识符。

    注意

    来自同一个合规包的所有流程检查都有相同的后缀。

  4. 在规则详细信息页面上,您无法编辑规则,但可以编辑规则的合规性。在“手动合规性”部分中,选择编辑合规性

  5. 从下拉列表中选择相应的合规性。

  6. (可选)输入合规性状态的描述。

  7. 选择 Save(保存)。

更改合规性状态后,返回合规包以查看流程检查及其描述。

更改流程检查的合规性状态 (CLI)

您可以使用 AWS 命令行界面 (AWS CLI) 更新合规包中的流程检查的合规性。

要在本地计算机上安装 AWS CLI,请参阅《AWS CLI 用户指南》中的安装 AWS CLI

如有必要,请键入 AWS Configure 以将 AWS CLI 配置为使用提供 AWS Config 一致性包的 AWS 区域。

  1. 打开命令提示符或终端窗口。

  2. 键入以下命令以更新流程检查的合规性,其中 ComplianceResourceId 是您的 Account ID,并包括您的规则名称。

    aws configservice put-external-evaluation --config-rule-name process-check-rule-name  --external-evaluation ComplianceResourceType=AWS::::Account,ComplianceResourceId=Account ID,ComplianceType=NON_COMPLIANT,OrderingTimestamp=2020-12-17T00:10:00.000Z

  3. 按 Enter 键运行命令。

更改流程检查的合规性状态 (API)

部署完成后,要更新流程检查的评估和合规性,请使用 PutExternalEvaluation API。有关更多信息,请参阅 PutExternalEvaluation

查看和编辑流程检查(控制台)

只有在流程检查中添加了合规性状态后,您才能查看流程检查。选择具体的合规包以查看该合规包中的所有流程检查。在这里,您可以看到处于合规和不合规状态的流程检查列表。

由于这是一项服务相关规则,因此您无法通过规则详细信息页面编辑流程检查。

注意

但是,您可以通过选择编辑合规性,然后从“合规”、“不合规”或“不适用”中选择适当值来更新流程检查的合规性。

您可以在添加流程检查的合规包中编辑或从中删除流程检查。