本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Config 規則評估資源
用 AWS Config 於評估資 AWS 源的組態設定。您可以透過建立代表理想組態設定的 AWS Config 規則來執行此操作。 AWS Config 提供稱為受管規則的可自訂預先定義規則,以協助您開始使用。當 AWS Config 持續追蹤您資源中發生的組態變更時,其也會檢查這些變更是否未遵循您規則中的任何條件。如果資源不符合規則,則會將資源和規則 AWS Config 標記為不相容。以下是 AWS Config 規則可能的評估結果:
-
COMPLIANT- 規則通過合規檢查的條件。 -
NON_COMPLIANT- 規則未通過合規檢查的條件。 -
ERROR- 其中一個必要/選用參數無效、類型不正確,或格式不正確。 -
NOT_APPLICABLE- 用於篩選出無法套用規則邏輯的資源。例如,該alb-desync-mode-check規則僅檢查應用程式負載平衡器,而忽略網路負載平衡器和閘道負載平衡器。
例如,建立 EC2 磁碟區時, AWS Config 可以根據需要加密磁碟區的規則評估磁碟區。如果磁碟區未加密,則會將磁碟區和規則 AWS Config 標記為不相容。 AWS Config 還可以檢查您的所有資源,以了解整個帳戶的要求。例如, AWS Config 可以檢查帳戶中的 EC2 磁碟區數量是否保持在所需的總數內,或者帳戶是否用 AWS CloudTrail 於記錄。
服務連結規則是一種獨特的受管規則類型,可支援其他 AWS 服務在您的帳戶中建立 AWS Config 規則。這些規則已預先定義為包含代表您呼叫其他 AWS 服務所需的所有權限。這些規則與 AWS 服務在您 AWS 帳戶中建議的標準相似,以進行合規性驗證。如需詳細資訊,請參閱 服務連結AWS Config規則。
主 AWS Config 控台會顯示規則和資源的合規性狀態。您可以查看 AWS 資源如何符合所需組態的整體規範,並瞭解哪些特定資源不符合標準。您也可以使用 AWS CLI、 AWS Config API 和 AWS SDK 向 AWS Config 服務提出要求以取得合規資訊。
透過使 AWS Config 用評估資源組態,您可以評估資源組態是否符合內部實務、產業準則和法規。
如需每個區域每個帳戶和其他服務限制的 AWS Config 規則數目上限,請參閱AWS Config 服務限制。
您也可以建立自訂規則,以評估尚 AWS Config 未記錄的其他資源。如需詳細資訊,請參閱 AWS Config 自訂規則 及 評估其他資源類型。
重要
避免不必要的 AWS Config 自訂 Lambda 規則評估
建立 AWS Config 自訂 lambda 規則時,強烈建議您新增邏輯來處理已刪除資源的評估。
當評估結果標記為 NOT_APPLICABLE 時,其會被標記以進行刪除和清理。如果評估結果未標記為 NOT_APPLICABLE,則直到刪除規則為止,其將保持不變,這可能會導致在刪除規則時,意外大量建立 ResourceCompliance 的組態項目 (CI)。
如需如何設 AWS Config 定自訂 lambda 規則以傳回已刪除資源的相NOT_APPLICABLE關資訊,請參閱使用 AWS Config 自訂 lambda 規則管理已刪除的資源。 AWS Config 受管規則和 AWS Config 自訂原則規則預設會處理此行為。
如果組態記錄器已關閉,則已刪除之資源的評估結果可以持續存在
如果組態錄製程式已關閉,則會停用追蹤資源組態變更 (包括其刪除) 的功能。 AWS Config 這表示如果關閉組態記錄器,您可能會看到先前刪除之資源的評估結果。
主題
區域支援
目前,下列 AWS 區域支援「 AWS Config 規則」功能。如需支援哪些區域的個別 AWS Config 規則清單,請參閱依區域可用性區域排列的 AWS Config 受管規則清單。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (奧勒岡) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| 非洲 (開普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亞太區域 (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亞太區域 (海德拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部 (卡加利) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (米蘭) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 歐洲 (蘇黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列 (特拉維夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (阿拉伯聯合大公國) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
下列區域支援跨組 AWS 織中的成員帳戶部署 AWS Config 規則。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美國西部 (加州北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美國西部 (奧勒岡) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
