本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新增、更新及刪除 AWS Config 規則
您可以使用 AWS Config 主控台或 AWS SDK 來檢視、新增和刪除規則。
新增、檢視、更新和刪除規則 (主控台)
規則 頁面會在表格中顯示您的規則和其目前的合規結果。每個規則的結果是評估... 直到 AWS Config 完成根據規則評估資源為止。您可以使用重新整理按鈕來更新結果。 AWS Config 完成評估後,您可以看到符合或不相容的規則和資源類型。如需詳細資訊,請參閱 檢視相容性資訊與評估結果。
注意
AWS Config 僅評估它正在記錄的資源類型。例如,如果您新增啟用 cloudtrail l 的規則,但未記錄 CloudTrail 追蹤資源類型,則 AWS Config 無法評估帳戶中的追蹤是否符合規定或不合規。如需詳細資訊,請參閱 錄製 AWS 資源。
新增規則
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點。
-
在左側導覽中,選擇 規則。
-
在 Rules (規則) 頁面,選擇 Add rule (新增規則)。
-
在 指定規則類型 頁面上,透過完成下列步驟來指定規則類型:
-
在搜尋欄位中輸入,以透過規則名稱、描述和標籤篩選受管規則清單。例如,輸入 EC2 來傳回評估 EC2 資源類型的規則,或是輸入定期來傳回定期觸發的規則。
-
您也可以建立自己的自訂規則。選擇使用 Lambda 建立自訂規則或使用防護建立自訂規則,然後遵循建立 AWS Config 自訂 Lambda 規則或建立 AWS Config 自訂原則規則中的程序。
-
-
在 配置規則 頁面中,完成下列步驟以設定規則:
-
在 Name (名稱) 欄位中,輸入規則的專屬名稱。
-
針對 描述,請輸入規則的描述。
-
AWS Config 若為「評估」模式,請選擇您要在資源建立與管理程序中評估資源的時間。根據規則, AWS Config 可以在部署資源之前、部署資源之後或兩者之後評估您的資源組態。
-
選擇 開啟主動評估,可讓您在部署資源之前,對資源的組態設定執行評估。
啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。
如需有關使用此命令的詳細資訊,請參閱使用 AWS Config 規則評估資源。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。
-
選擇 開啟偵測評估 以評估現有資源的組態設定。
偵測評估有兩種類型的觸發程序:組態有所變更時 和 定期。
-
如果規則的觸發器類型包含組態變更,請為 AWS Config 呼叫 Lambda 函數的變更範圍指定下列其中一個選項:
-
資源 – 建立、變更或刪除符合指定資源類型或加上識別符類型的資源時。
-
標籤 – 建立、變更或刪除含指定標籤的資源時。
-
所有變更 — 建立、變更或刪除記錄的資源時。 AWS Config
AWS Config 當偵測到符合規則範圍的資源變更時,會執行評估。您可以使用範圍來定義要進行評估的資源。
-
-
如果規則的觸發器類型包含「週期性」,請指定 AWS Config 呼叫 Lambda 函數的頻率。
-
-
-
針對 參數,如果您的規則包含參數,則您可以自訂所提供金鑰的值。您的資源必須依循參數這項屬性,才會被視為符合規則。
-
-
在 [檢閱並建立] 頁面上,檢閱所有選取項目,然後再將規則新增至您的 AWS 帳戶。如果規則或函數未如預期般正常運作,則 合規 可能會顯示下列其中一個項目:
-
未報告結果-根據規則 AWS Config 評估您的資源。規則不適用於其範圍內的 AWS 資源、刪除指定的資源或評估結果已刪除。若要取得評估結果,請更新規則、變更其範圍,或選擇 Re-evaluate (重新評估)。
如果規則未回報評估結果,也會顯示此訊息。
-
沒有資源在範圍內- AWS Config 無法根據此規則評估您記錄的資 AWS 源,因為您的資源都不在規則的範圍內。若要取得評估結果,請編輯規則並變更其範圍,或使用「設定」 頁面新增 AWS Config 要記錄的資源。
-
Evaluations failed (評估失敗) - 如需有助於判斷問題的資訊,請選擇規則名稱以開啟它的詳細資訊頁面,並參閱錯誤訊息。
-
檢視您的規則
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點。
-
在左側導覽中,選擇 規則。
-
「規則」(Rules) 頁面會顯示目前在您的規則中的所有規則 AWS 帳戶。其會列出每個規則的名稱、相關聯的修復動作和合規狀態。
-
選擇 Add rule (新增規則) 以開始建立規則。
-
請選擇規則以查看其設定,或選擇規則及 檢視詳細資訊。
-
當規則評估您的資源時,查看規則的合規狀態。
-
選擇規則,然後選擇 編輯規則 以變更規則的組態設定,並為不合規的規則設定修復動作。
-
更新規則
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點。
-
在左側導覽中,選擇 規則。
-
依序為要更新的規則選擇一項規則及 編輯規則。
-
修改 編輯規則 頁面上的設定,以視需要變更規則。
-
選擇 儲存。
刪除規則
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點。
-
在左側導覽中,選擇 規則。
-
從表格選擇您要刪除的規則。
-
從 動作 下拉式清單中,選擇 刪除規則。
-
出現提示時,請鍵入 "Delete" (區分大小寫),然後選擇 刪除。
您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。
資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考。
注意
主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。
開啟主動評估
請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/
。 -
在 AWS Management Console 功能表中,確認 [地區] 選取器已設定為支援 AWS Config 規則的 [區域]。如需受支援 AWS 區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點。
-
在左側導覽中,選擇 規則。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。
-
選擇規則,然後針對您要更新的規則選擇 編輯規則。
-
針對 評估模式,請選擇 開啟主動評估,這可讓您在部署資源之前,對資源的組態設定執行評估。
-
選擇 儲存。
啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。
例如,從 StartResourceEvaluation API 開始:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您應該會在輸出中收到 ResourceEvaluationId
:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然後,使用ResourceEvaluationId
與 GetResourceEvaluationSummary API 一起檢查評估結果:
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
您應該會收到類似下列的輸出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
若要查看有關評估結果的其他資訊,例如哪些規則將資源標記為「GetComplianceDetailsBy非 _ 相容」,請使用資源 API。
檢視、更新或新增及刪除規則 (AWS SDK)
下列程式碼範例會示範如何使用DescribeConfigRules
。
下列程式碼範例會示範如何使用PutConfigRule
。
下列程式碼範例會示範如何使用DeleteConfigRule
。
您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。
資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考。
注意
主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。
開啟主動評估
使用 put-config-rule
命令並啟用 EvaluationModes
的 PROACTIVE
。
開啟主動評估之後,您可以使用開始資源評估 CLI 命令和取得資源評估- 摘要 CLI 命令,來檢查您在這些命令中指定的資源是否會被您區域中帳戶中的主動規則標記為 NON_COMPLUTION。
例如,從 start-resource-evaluation 命令開始:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您應該會在輸出中收到 ResourceEvaluationId
:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然後,請使用 ResourceEvaluationId
與 get-resource-evaluation-summary 來檢查評估結果:
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
您應該會收到類似下列的輸出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
若要查看評估結果的其他資訊,例如哪個規則將資源標記為「NON_COMPLIANT」,請使用 get-compliance-details-by-resource CLI 命令。
注意
如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。
您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。
資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type
RESOURCE
如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考。
注意
主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。
開啟規則的主動評估
使用「PutConfig規則」動作並啟PROACTIVE
用EvaluationModes
。
啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。例如,從 StartResourceEvaluation API 開始:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"
MY_RESOURCE_ID
", "ResourceType":"AWS::RESOURCE::TYPE
", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA
", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您應該會在輸出中收到 ResourceEvaluationId
:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然後,使用ResourceEvaluationId
與 GetResourceEvaluationSummary API 一起檢查評估結果:
aws configservice get-resource-evaluation-summary --resource-evaluation-id
MY_RESOURCE_EVALUATION_ID
您應該會收到類似下列的輸出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
若要查看有關評估結果的其他資訊,例如哪些規則將資源標記為「GetComplianceDetailsBy非 _ 相容」,請使用資源 API。
注意
如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。
將規則評估傳送至 Security Hub
新增 AWS Config 規則之後,您也可以將規則評估傳送至 AWS Security Hub。 AWS Config 與 Security Hub 之間的整合可讓您將規則評估與其他錯誤設定和安全性問題一起分類和修復。
將規則評估傳送至 Security Hub
若要將規則評估傳送至 Security Hub,您必須先設定 AWS Security Hub 和 AWS Config,然後新增至少一個 AWS Config 受管理或自訂規則。在此之後, AWS Config 立即開始傳送規則評估到 Security Hub。Security Hub 會補充規則評估,並將其轉換為 Security Hub 調查結果。
如需有關此整合的詳細資訊,請參閱 AWS Security Hub 使用者指南中的可用 AWS 服務整合。