新增、更新及刪除 AWS Config 規則 - AWS Config
使用主控台使用 AWS 軟體開發套件使用 Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增、更新及刪除 AWS Config 規則

您可以使用 AWS Config 主控台或 AWS SDK 來檢視、新增和刪除規則。

新增、檢視、更新和刪除規則 (主控台)

規則 頁面會在表格中顯示您的規則和其目前的合規結果。每個規則的結果是評估... 直到 AWS Config 完成根據規則評估資源為止。您可以使用重新整理按鈕來更新結果。 AWS Config 完成評估後,您可以看到符合或不相容的規則和資源類型。如需詳細資訊,請參閱 檢視相容性資訊與評估結果

注意

AWS Config 僅評估它正在記錄的資源類型。例如,如果您新增啟用 cloudtrail l 的規則,但未記錄 CloudTrail 追蹤資源類型,則 AWS Config 無法評估帳戶中的追蹤是否符合規定或不合規。如需詳細資訊,請參閱 錄製 AWS 資源

新增規則

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點

  3. 在左側導覽中,選擇 規則

  4. Rules (規則) 頁面,選擇 Add rule (新增規則)

  5. 指定規則類型 頁面上,透過完成下列步驟來指定規則類型:

    1. 在搜尋欄位中輸入,以透過規則名稱、描述和標籤篩選受管規則清單。例如,輸入 EC2 來傳回評估 EC2 資源類型的規則,或是輸入定期來傳回定期觸發的規則。

    2. 您也可以建立自己的自訂規則。選擇使用 Lambda 建立自訂規則使用防護建立自訂規則,然後遵循建立 AWS Config 自訂 Lambda 規則建立 AWS Config 自訂原則規則中的程序。

  6. 配置規則 頁面中,完成下列步驟以設定規則:

    1. Name (名稱) 欄位中,輸入規則的專屬名稱。

    2. 針對 描述,請輸入規則的描述。

    3. AWS Config 若為「評估」模式,請選擇您要在資源建立與管理程序中評估資源的時間。根據規則, AWS Config 可以在部署資源之前、部署資源之後或兩者之後評估您的資源組態。

      1. 選擇 開啟主動評估,可讓您在部署資源之前,對資源的組態設定執行評估。

        啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。

        如需有關使用此命令的詳細資訊,請參閱使用 AWS Config 規則評估資源。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。

      2. 選擇 開啟偵測評估 以評估現有資源的組態設定。

        偵測評估有兩種類型的觸發程序:組態有所變更時定期

        1. 如果規則的觸發器類型包含組態變更,請為 AWS Config 呼叫 Lambda 函數的變更範圍指定下列其中一個選項:

          • 資源 – 建立、變更或刪除符合指定資源類型或加上識別符類型的資源時。

          • 標籤 – 建立、變更或刪除含指定標籤的資源時。

          • 所有變更 — 建立、變更或刪除記錄的資源時。 AWS Config

          AWS Config 當偵測到符合規則範圍的資源變更時,會執行評估。您可以使用範圍來定義要進行評估的資源。

        2. 如果規則的觸發器類型包含「週期性」,請指定 AWS Config 呼叫 Lambda 函數的頻率

    4. 針對 參數,如果您的規則包含參數,則您可以自訂所提供金鑰的值。您的資源必須依循參數這項屬性,才會被視為符合規則。

  7. 在 [檢閱並建立] 頁面上,檢閱所有選取項目,然後再將規則新增至您的 AWS 帳戶。如果規則或函數未如預期般正常運作,則 合規 可能會顯示下列其中一個項目:

    • 未報告結果-根據規則 AWS Config 評估您的資源。規則不適用於其範圍內的 AWS 資源、刪除指定的資源或評估結果已刪除。若要取得評估結果,請更新規則、變更其範圍,或選擇 Re-evaluate (重新評估)

      如果規則未回報評估結果,也會顯示此訊息。

    • 沒有資源在範圍內- AWS Config 無法根據此規則評估您記錄的資 AWS 源,因為您的資源都不在規則的範圍內。若要取得評估結果,請編輯規則並變更其範圍,或使用「設定」 頁面新增 AWS Config 要記錄的資源。

    • Evaluations failed (評估失敗) - 如需有助於判斷問題的資訊,請選擇規則名稱以開啟它的詳細資訊頁面,並參閱錯誤訊息。

檢視您的規則

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點

  3. 在左側導覽中,選擇 規則

  4. 規則」(Rules) 頁面會顯示目前在您的規則中的所有規則 AWS 帳戶。其會列出每個規則的名稱、相關聯的修復動作和合規狀態。

    • 選擇 Add rule (新增規則) 以開始建立規則。

    • 請選擇規則以查看其設定,或選擇規則及 檢視詳細資訊

    • 當規則評估您的資源時,查看規則的合規狀態。

    • 選擇規則,然後選擇 編輯規則 以變更規則的組態設定,並為不合規的規則設定修復動作。

更新規則

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點

  3. 在左側導覽中,選擇 規則

  4. 依序為要更新的規則選擇一項規則及 編輯規則

  5. 修改 編輯規則 頁面上的設定,以視需要變更規則。

  6. 選擇 儲存

刪除規則

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在 AWS Management Console 功能表中,確認區域選取器已設定為支援 AWS Config 規則的區域。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點

  3. 在左側導覽中,選擇 規則

  4. 從表格選擇您要刪除的規則。

  5. 動作 下拉式清單中,選擇 刪除規則

  6. 出現提示時,請鍵入 "Delete" (區分大小寫),然後選擇 刪除

您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。

資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考

注意

主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。

開啟主動評估

  1. 請登入 AWS Management Console 並開啟 AWS Config 主控台,網址為 https://console.aws.amazon.com/config/

  2. 在 AWS Management Console 功能表中,確認 [地區] 選取器已設定為支援 AWS Config 規則的 [區域]。如需受支援 AWS 區域的清單,請參閱《Amazon Web Services 一般參考》中的 AWS Config 區域與端點

  3. 在左側導覽中,選擇 規則。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。

  4. 選擇規則,然後針對您要更新的規則選擇 編輯規則

  5. 針對 評估模式,請選擇 開啟主動評估,這可讓您在部署資源之前,對資源的組態設定執行評估。

  6. 選擇 儲存

啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。

例如,從 StartResourceEvaluation API 開始:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您應該會在輸出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然後,使用ResourceEvaluationId與 GetResourceEvaluationSummary API 一起檢查評估結果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您應該會收到類似下列的輸出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

若要查看有關評估結果的其他資訊,例如哪些規則將資源標記為「GetComplianceDetailsBy非 _ 相容」,請使用資源 API。

檢視、更新或新增及刪除規則 (AWS SDK)

下列程式碼範例會示範如何使用DescribeConfigRules

CLI
AWS CLI

若要取得 AWS Config 規則的詳細資訊

下列命令會傳回名為之 AWS Config 規則的詳細資料InstanceTypesAreT2micro

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

輸出:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}
PowerShell
適用的工具 PowerShell

範例 1:此範例會列出帳戶的組態規則,以及選取的屬性。

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

輸出:

ConfigRuleName                                    ConfigRuleId       ConfigRuleArn                                                        ConfigRuleState
--------------                                    ------------       -------------                                                        ---------------
ALB_REDIRECTION_CHECK                             config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated                               config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required        config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE

  • 如需 API 詳細資訊,請參閱AWS Tools for PowerShell 指令程式參考中的DescribeConfig規則

Python
適用於 Python (Boto3) 的 SDK
注意

還有更多關於 GitHub。尋找完整範例,並了解如何在AWS 設定和執行程式碼範例儲存庫

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def describe_config_rule(self, rule_name):
        """
        Gets data for the specified rule.

        :param rule_name: The name of the rule to retrieve.
        :return: The rule data.
        """
        try:
            response = self.config_client.describe_config_rules(
                ConfigRuleNames=[rule_name]
            )
            rule = response["ConfigRules"]
            logger.info("Got data for rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't get data for rule %s.", rule_name)
            raise
        else:
            return rule

  • 如需 API 的詳細資訊,請參閱AWS 開發套件中的DescribeConfig規則 (Boto3) API 參考。

下列程式碼範例會示範如何使用PutConfigRule

CLI
AWS CLI

若要新增 AWS 受管理的 Config 規則

以下命令提供 JSON 代碼來添加 AWS 託管 Config 規則:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json是包含規則組態的 JSON 檔案:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

對於ComplianceResourceTypes屬性,此 JSON 代碼將範圍限制為該AWS::EC2::Instance類型的資源,因此 AWS Config 將僅評估 EC2 實例違反規則。由於規則是受管理規則,因此Owner屬性會設定為AWS,且SourceIdentifier屬性會設定為規則識別元REQUIRED_TAGS。對於InputParameters屬性,會指定規則所需的標籤索引鍵OwnerCostCenter和。

如果命令成功, AWS Config 不會返回任何輸出。若要驗證規則組態,請執行 describe-config-rules 命令,然後指定規則名稱。

新增客戶管理的 Config 規則

下列命令提供 JSON 程式碼,以新增客戶管理的 Config 規則:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json是包含規則組態的 JSON 檔案:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

對於ComplianceResourceTypes屬性,此 JSON 代碼將範圍限制為該AWS::EC2::Instance類型的資源,因此 AWS Config 將僅評估 EC2 實例違反規則。由於此規則是客戶管理規則,因此Owner屬性會設定為CUSTOM_LAMBDA,並將SourceIdentifier屬性設定為 AWS Lambda 函數的 ARN。該SourceDetails對象是必需的。當 AWS Config 呼叫 AWS Lambda 函數以根據規則評估資源時,針對InputParameters屬性指定的參數會傳遞至 Lambda 函數。

如果命令成功, AWS Config 不會返回任何輸出。若要驗證規則組態,請執行 describe-config-rules 命令,然後指定規則名稱。

  • 如需 API 詳細資訊,請參閱AWS CLI 命令參考中的PutConfig規則

Python
適用於 Python (Boto3) 的 SDK
注意

還有更多關於 GitHub。尋找完整範例,並了解如何在AWS 設定和執行程式碼範例儲存庫

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • 如需 API 的詳細資訊,請參閱 AWS SDK 中的PutConfig規則 (Boto3) API 參考。

下列程式碼範例會示範如何使用DeleteConfigRule

CLI
AWS CLI

刪除 AWS 組 Config 規則

下列命令會刪除名為的 AWS Config 規則MyConfigRule

aws configservice delete-config-rule --config-rule-name MyConfigRule
Python
適用於 Python (Boto3) 的 SDK
注意

還有更多關於 GitHub。尋找完整範例,並了解如何在AWS 設定和執行程式碼範例儲存庫

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def delete_config_rule(self, rule_name):
        """
        Delete the specified rule.

        :param rule_name: The name of the rule to delete.
        """
        try:
            self.config_client.delete_config_rule(ConfigRuleName=rule_name)
            logger.info("Deleted rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't delete rule %s.", rule_name)
            raise

  • 如需 API 的詳細資訊,請參閱 AWS SDK 中的DeleteConfig規則 (Boto3) API 參考。

您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。

資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考

注意

主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。

開啟主動評估

使用 put-config-rule 命令並啟用 EvaluationModesPROACTIVE

開啟主動評估之後,您可以使用開始資源評估 CLI 命令和取得資源評估- 摘要 CLI 命令,來檢查您在這些命令中指定的資源是否會被您區域中帳戶中的主動規則標記為 NON_COMPLUTION。

例如,從 start-resource-evaluation 命令開始:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您應該會在輸出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然後,請使用 ResourceEvaluationIdget-resource-evaluation-summary 來檢查評估結果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您應該會收到類似下列的輸出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

若要查看評估結果的其他資訊,例如哪個規則將資源標記為「NON_COMPLIANT」,請使用 get-compliance-details-by-resource CLI 命令。

注意

如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。

您可以使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。

資源類型結構描述會說明資源的屬性。您可以在 AWS CloudFormation 註冊表內的「AWS 公共擴展」中或使用以下 CLI 命令找到資源類型模式:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

如需詳細資訊,請參閱《 AWS CloudFormation 使用指南》中的 < 透過 AWS CloudFormation 登錄管理擴充功能 > 以及AWS 資源和屬性類型參考

注意

主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。

開啟規則的主動評估

使用「PutConfig規則」動作並啟PROACTIVEEvaluationModes

啟用主動式評估之後,您可以使用StartResource評估 API 和 GetResourceEvaluationSummaryAPI 來檢查您在這些命令中指定的資源是否會被您所在地區帳戶中的主動規則標記為 NON_COMPTION。例如,從 StartResourceEvaluation API 開始:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您應該會在輸出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然後,使用ResourceEvaluationId與 GetResourceEvaluationSummary API 一起檢查評估結果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您應該會收到類似下列的輸出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

若要查看有關評估結果的其他資訊,例如哪些規則將資源標記為「GetComplianceDetailsBy非 _ 相容」,請使用資源 API。

注意

如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。

將規則評估傳送至 Security Hub

新增 AWS Config 規則之後,您也可以將規則評估傳送至 AWS Security Hub。 AWS Config 與 Security Hub 之間的整合可讓您將規則評估與其他錯誤設定和安全性問題一起分類和修復。

將規則評估傳送至 Security Hub

若要將規則評估傳送至 Security Hub,您必須先設定 AWS Security Hub 和 AWS Config,然後新增至少一個 AWS Config 受管理或自訂規則。在此之後, AWS Config 立即開始傳送規則評估到 Security Hub。Security Hub 會補充規則評估,並將其轉換為 Security Hub 調查結果。

如需有關此整合的詳細資訊,請參閱 AWS Security Hub 使用者指南中的可用 AWS 服務整合。