本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Config 規則評估資源
用 AWS Config 於評估資 AWS 源的組態設定。您可以透過建立代表理想組態設定的 AWS Config 規則來執行此操作。 AWS Config 提供稱為受管規則的可自訂預先定義規則,以協助您開始使用。
AWS Config 規則的運作方式
當 AWS Config 持續追蹤您資源中發生的組態變更時,其也會檢查這些變更是否未遵循您規則中的任何條件。如果資源不符合規則,則會將資源和規則 AWS Config 標記為不相容。以下是 AWS Config 規則可能的評估結果:
-
COMPLIANT- 規則通過合規檢查的條件。 -
NON_COMPLIANT- 規則未通過合規檢查的條件。 -
ERROR- 其中一個必要/選用參數無效、類型不正確,或格式不正確。 -
NOT_APPLICABLE- 用於篩選出無法套用規則邏輯的資源。例如,alb-desync-mode-check 規則僅檢查 Application Load Balancer,並忽略 Network Load Balancer 和 Gateway Load Balancer。
例如,建立 EC2 磁碟區時, AWS Config 可以根據需要加密磁碟區的規則評估磁碟區。如果磁碟區未加密,則會將磁碟區和規則 AWS Config 標記為不相容。 AWS Config 還可以檢查您的所有資源,以了解整個帳戶的要求。例如, AWS Config 可以檢查帳戶中的 EC2 磁碟區數量是否保持在所需的總數內,或者帳戶是否用 AWS CloudTrail 於記錄。
服務連結規則
服務連結規則是一種獨特的受管規則類型,可支援其他 AWS 服務在您的帳戶中建立 AWS Config 規則。這些規則已預先定義為包含代表您呼叫其他 AWS 服務所需的所有權限。這些規則與 AWS 服務針對合規性驗證所建議 AWS 帳戶 的標準類似。如需詳細資訊,請參閱 服務連結規 AWS Config 則。
自訂規則
您也可以建立自訂規則,以評估尚 AWS Config 未記錄的其他資源。如需詳細資訊,請參閱 AWS Config 自訂規則 及 評估其他資源類型。
檢視符合性
主 AWS Config 控台會顯示規則和資源的合規性狀態。您可以查看 AWS 資源如何符合所需組態的整體規範,並瞭解哪些特定資源不合規。您也可以使用 AWS CLI、 AWS Config API 和 AWS SDK 向 AWS Config 服務提出要求以取得合規資訊。
透過使 AWS Config 用評估資源組態,您可以評估資源組態是否符合內部實務、產業準則和法規。
限制
如需每個帳戶及其他服務限制各區域的 AWS Config 規則數目上限,請參閱AWS Config 服務限制。
成本考量
如需與資源記錄相關聯的成本詳細資訊,請參閱AWS Config 定價
建議:在刪除規則之前停止記錄資源符合性
強烈建議您在刪除帳戶中的規則之前停止記錄AWS::Config::ResourceCompliance資源類型。刪除規則會建立組態項目 (CI),AWS::Config::ResourceCompliance且可能會影響您的 AWS Config 組態錄製程式成本。如果您要刪除評估大量資源類型的規則,這可能會導致記錄的 CI 數量激增。
最佳做法:
停止錄製
AWS::Config::ResourceCompliance刪除規則
開啟以下項目的錄製
AWS::Config::ResourceCompliance
建議:新增邏輯以處理自訂 lambda 規則的已刪除資源評估
建立 AWS Config 自訂 lambda 規則時,強烈建議您新增邏輯來處理已刪除資源的評估。
當評估結果標記為 NOT_APPLICABLE 時,其會被標記以進行刪除和清理。如果它們沒有標記為NOT_APPLICABLE,評估結果將保持不變,直到刪除規則為止,這可能會導致 CI 在刪除規則AWS::Config::ResourceCompliance時建立意外的尖峰。
如需如何設 AWS Config 定自訂 lambda 規則以傳回已刪除資源的相NOT_APPLICABLE關資訊,請參閱使用 AWS Config 自訂 lambda 規則管理已刪除的資源。
建議:提供自訂 lambda 規則範圍內的資源
AWS Config 如果規則的範圍不限於一或多個資源類型,則自訂 Lambda 規則可能會導致大量 Lambda 函數叫用。為了避免與您的帳戶相關聯的活動增加,強烈建議您為自訂 Lambda 規則提供範圍內的資源。如果未選取任何資源類型,則規則會針對帳戶中的所有資源叫用 Lambda 函數。
區域支援
目前,下列 AWS 區域支援「 AWS Config 規則」功能。如需支援哪些區域的個別 AWS Config 規則清單,請參閱依區域可用性區域排列的 AWS Config 受管規則清單。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (奧勒岡) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| 非洲 (開普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亞太區域 (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亞太區域 (海德拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部 (卡加利) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (米蘭) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 歐洲 (蘇黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列 (特拉維夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (阿拉伯聯合大公國) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
下列區域支援跨組 AWS 織中的成員帳戶部署 AWS Config 規則。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美國西部 (奧勒岡) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
故障診斷
如果您無法刪除 AWS Config 規則或收到類似下列內容的錯誤,請檢查下列問題以進行疑難排解:「發生錯誤 AWS Config。」
AWS Identity and Access Management (IAM) 實體具有 DeleteConfigRule API 的許可
前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 在導覽窗格中選擇 [使用者] 或 [角色]。
選擇您用來刪除規則的使用者或角色,然後展開 [權限] 原 AWS Config 則。
在 [權限] 索引標籤中,選擇 [JSON]。
在 JSON 預覽窗格中,確認 IAM 政策允許DeleteConfig規則 API 的許可。
IAM 實體權限界限允許 DeleteConfigRule API
如果 IAM 實體具有許可界限,請確保它允許 DeleteConfigRule API 的許可。
前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 在導覽窗格中選擇 [使用者] 或 [角色]。
選擇您用來刪除 AWS Config 規則的使用者或角色,展開 [權限] 界限,然後選擇 [JSON]。
在 JSON 預覽窗格中,確認 IAM 政策允許DeleteConfig規則 API 的許可。
警告
IAM 使用者擁有長期登入資料,這會帶來安全風險。為了減輕此風險,我們建議您僅向這些使用者提供執行工作所需的權限,並在不再需要這些使用者時移除這些使用者。
服務控制策略(SCP)允許 API DeleteConfigRule
使用組織的管理帳戶開啟 AWS Organizations 主控台,網址為 https://console.aws.amazon.com/organizations/。
在帳戶名稱中,選擇 AWS 帳戶。
在 [原則] 中,展開 [服務控制原則],並記下所附加的 SCP 原則。
在頁面頂端,選擇 [原則]。
選取策略,然後選擇 [檢視詳細資料]。
在 JSON 預覽窗格中,確認原則允許DeleteConfig規則 API。
此規則不是服務連結規則
當您啟用安全性標準時, AWS Security Hub 會為您建立服務連結規則。您無法使用刪除這些服務連結規則 AWS Config,而且刪除按鈕會呈現灰色。若要移除服務連結規則,請參閱 Security Hub 使用者指南中的停用安全性標準。
沒有正在進行的修正動作
您無法刪除正在進行修正動作的 AWS Config 規則。依照下列步驟刪除與該規則相關聯的修正動作。然後,請嘗試再次刪除規則。
重要
僅刪除處於失敗或成功狀態的修正動作。
