本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用规则修复不合AWS Config规的资源
AWS Config 允许您修正被 AWS Config Rules 评估为不合规的资源。AWS Config 使用 AWS Systems Manager 自动化文档应用修正。这些文档定义了要对评估的不合规AWS资源执行的操作AWS Config Rules。您可以使用 AWS Management Console或 API 来关联 SSM 文档。
AWS Config 提供了一组具有修正操作的托管自动化文档。您也可以创建自定义自动化文档并将其与 AWS Config 规则关联。
要将修正应用于不合规的资源,您可以从预先填充的列表中选择要关联的修正操作,也可以使用 SSM 文档创建自己的自定义修正操作。AWS Config 在 AWS Management Console 中提供了建议的修正操作清单。
在中AWS Management Console,您可以选择手动修复或通过将修复操作与AWS Config规则关联来自动修复不合规的资源。借助所有修正操作,您可以选择手动或自动修正。
先决条件
在开始对不合规资源应用修正之前,您必须选择一条规则并针对该规则设置修正(手动或自动)。
设置手动修正(控制台)
登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/
。 -
在左侧选择 “规则”,然后在 “规则” 页面上,选择 “添加规则” 将新规则添加到规则列表中
对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。
-
从 “操作” 下拉列表中,选择 “管理补救”。选择 “手动修复”,然后从推荐列表中选择相应的修复操作。
注意
您只能管理非服务关联AWS Config规则的修复。有关更多信息,请参阅服务相关AWS规则。
根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。
-
(可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。
每个参数都具有静态值或动态值。如果您未从下拉列表中选择特定的资源 ID 参数,则可以为每个密钥输入值。如果您从下拉列表中选择资源 ID 参数,则可以输入除所选资源 ID 参数之外的所有其他键的值。
-
选择保存。此时将显示 Rules (规则) 页面。
注意
要对于修复操作失败的疑难问题,您可以运行AWS命令行界面命令describe-remediation-execution-status以获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。
设置自动修正(控制台)
登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/
。 -
选择左侧的 Rules (规则),然后在 Rules (规则) 页面上选择 Add Rule (添加规则),然后向规则列表中添加新规则。
对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。
-
从 “操作” 下拉列表中,选择 “管理补救”。选择 “自动修复”,然后从推荐列表中选择相应的补救措施。
注意
您只能管理非服务关联AWS Config规则的修复。有关更多信息,请参阅服务相关AWS规则。
根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。
-
选择 Auto remediation (自动修正) 以自动修正不合规的资源。
如果在自动修正后资源仍然不合规,则可以设置规则以再次尝试自动修正。输入所需的重试次数和秒数。
注意
多次运行修正脚本会有关联的成本。仅当修复失败并在指定时间段内起作用时才会重试;例如,在 300 秒内重试 5 次。
-
(可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。
每个参数都具有静态值或动态值。如果您未从下拉列表中选择特定的资源 ID 参数,则可以为每个密钥输入值。如果您从下拉列表中选择资源 ID 参数,则可以输入除所选资源 ID 参数之外的所有其他键的值。
-
选择保存。此时将显示 Rules (规则) 页面。
注意
要对于修复操作失败的疑难问题,您可以运行AWS命令行界面命令describe-remediation-execution-status以获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。
删除修正操作(控制台)
要删除规则,必须首先删除与该规则关联的修正操作。
登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/
。 -
选择左侧的规则,然后在规则页面上,从规则列表中选择规则并选择查看详细信息。
-
在
规则名称页面上,转到修复操作部分。展开该部分以查看更多详细信息。 -
在修复操作部分中,选择删除并确认您的删除操作。
注意
如果修复正在进行中,则不会删除修复操作。选择删除修复操作后,您将无法检索该修复操作。删除修复操作并不会删除相关规则。
如果删除了修复操作,则资源 ID 参数将为空并显示 N/A。在 “规则” 页上,修复操作列显示未为关联规则设置。
管理修正 (API)
手动修正
使用以下 AWS Config API 操作来管理修正:
自动修正
使用以下 AWS Config API 操作来管理自动修正:
区域支持
目前,以下区域支持AWS Config规则的修复操作:
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部 (弗吉尼亚北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| US East (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国西部(北加利福尼亚) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canada (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 中国(北京) | cn-north-1 | cnnthwhthnhthwhthwh | HTTPS |
| 中国(宁夏) | cn-northwest-1 | cnnthwesthwesthwesthwesthwe | HTTPS |
| 欧洲(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europe (Ireland) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东(阿联酋) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| South America (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国东部) | us-gov-east-1 | 配置配置配置配置配置 us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美国西部) | us-gov-west-1 | 配置配置配置配置配置 us-gov-west-1.amazonaws.com | HTTPS |
