本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义 Lambda 规则(一般示例)
完成以下过程以创建自定义 Lambda 规则。要创建自定义 Lambda 规则,您首先要创建一个 Amazon Lambda 函数,其中包含该规则的评估逻辑。然后,将该函数与您在 Amazon Config 中创建的自定义 Lambda 规则关联。
重要
作为允许 Amazon Config 拥有调用 Lambda 函数的权限的最佳安全实践,我们强烈建议您在基于资源的 Lambda 策略中使用调用请求中的 sourceARN 和/或 sourceAccountId 来限制访问权限。有关更多信息,请参阅基于 Amazon Lambda 资源的策略的安全最佳实践。
为自定义 Config 规则创建 Amazon Lambda 函数
Lambda 函数是您上传到 Amazon Lambda 的自定义代码,由事件源发布给它的事件调用。如果 Lambda 函数与 Config 规则关联,则 Amazon Config 将在触发规则时调用该函数。之后,Lambda 函数会评估由 Amazon Config 发送的配置信息并返回评估结果。有关 Lambda 函数的更多信息,请参阅《Amazon Lambda 开发人员指南》中的函数和事件源。
您可以使用 Amazon Lambda 支持的编程语言为自定义 Lambda 规则创建一个 Lambda 函数。为简化这一任务,您可以自定义一个 Amazon Lambda 蓝图,或者重复使用 Amazon Config 规则 GitHub 存储库中的示例函数。
Amazon Lambda 蓝图
Amazon Lambda 控制台可以提供示例函数或蓝图,您可以通过添加自己的评估逻辑来对其进行自定义。当您创建函数时,您可以选择以下蓝图之一:
-
config-rule-change-triggered – 在您的 Amazon 资源配置发生更改时触发。
-
config-rule-periodic – 按照您选择的频率(例如,每 24 小时)触发。
Amazon Config Rules 的 GitHub 存储库
GitHub 上提供了一个自定义 Lambda 规则示例函数的公开存储库,GitHub 是一项基于网络的代码托管和共享服务。示例函数由 Amazon 社区开发和提供。如果想使用示例函数,您可以将其代码复制到新的 Amazon Lambda 函数中。要查看存储库,请访问 https://github.com/awslabs/aws-config-rules/
为您的自定义规则创建函数
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Lambda 控制台:https://console.aws.amazon.com/lambda/
。 -
在 Amazon Web Services Management Console菜单上,验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点。
-
选择 Create a Lambda function (创建 Lambda 函数)。
-
在使用蓝图页面上,您可以为 Amazon Config 规则选择一个蓝图函数作为起点,也可以通过选择跳过不使用蓝图继续操作。
-
在 Configure triggers 页面上,选择 Next。
-
在基本信息页面上,键入名称和描述。
-
对于 Runtime,请选择您编写函数时使用的编程语言。
-
对于 Code entry type,请选择您偏好的条目类型。如果使用蓝图,请保留预先配置的代码。
-
用您选择的代码条目类型要求的方法提供您的代码。如果您正在使用蓝图,那么函数代码由代码编辑器提供,且您可以自定义代码,以使其包含您自己的评估逻辑。当 Amazon Config 调用您的函数时,您的代码可以评估它提供的事件数据:
-
对于基于 config-rule-change-triggered 蓝图的函数或由配置更改触发的函数,事件数据是更改的 Amazon 资源的配置项或过大配置项对象。
-
对于基于 config-rule-periodic 蓝图的函数,或按照您选择的频率触发的函数,事件数据是一个 JSON 对象,包括有关评估触发时间的信息。
-
对于这两种类型的函数,Amazon Config 会传递 JSON 格式的规则参数。您在 Amazon Config 中创建自定义 Lambda 规则时,可以定义传递哪些规则参数。
-
有关 Amazon Config 在调用您的函数时发布的事件示例,请参阅 Amazon Config 规则的示例事件。
-
-
对于执行角色,选择从 Amazon 策略模板创建新角色。
-
对于 Role name,请输入名称。
-
对于策略模板,选择 Amazon Config 规则权限。
-
验证详细信息,然后选择创建函数。
在 Amazon Config 中创建自定义规则
使用 Amazon Config 创建自定义 Lambda 规则,并将此规则与 Lambda 函数关联。
创建自定义规则
-
通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/
。 -
在 Amazon Web Services Management Console菜单中,验证区域选择器是否设置为与您为自定义 Lambda 规则创建 Amazon Lambda 函数时所在的相同区域。
-
在 Rules 页面,选择 Add rule。
-
在指定规则类型页面上,选择创建自定义规则。
-
在 Configure rule 页面,键入一个名称和描述。
-
对于 Amazon Lambda 函数 ARN,指定 Amazon Lambda 分配给您的函数的 ARN。
注意
您在此步骤中指定的 ARN 不能包含
$LATEST限定词。您指定的 ARN 可以不带有版本限定词,也可以带有除$LATEST之外的任何限定词。Amazon Lambda 支持函数版本控制功能,并为每个版本都分配一个带有限定词的 ARN。Amazon Lambda 对最新版本使用$LATEST限定词。 -
对于 Trigger type,请选择下列一个或两个选项:
-
配置更改 – Amazon Config 在检测到配置更改时会调用您的 Lambda 函数。
-
定期 – Amazon Config 按照您选择的频率(例如,每 24 小时)调用您的 Lambda 函数。
-
-
如果您的规则的触发器类型包括配置更改,请为更改范围指定以下选项之一,以便 Amazon Config 按其调用您的 Lambda 函数:
-
所有更改 – 在创建、更改或删除 Amazon Config 记录的任何资源时。
-
资源 – 在创建、更改或删除任何与指定类型(或类型和标识符)匹配的资源时。
-
标签 – 在创建、更改或删除任何包含指定标签的资源时。
-
-
如果您的规则的触发器类型包括定期,请指定频率,以便 Amazon Config 按其调用您的 Lambda 函数。
-
在参数部分中,指定您的 Amazon Lambda 函数评估的任何规则参数及所需的值。
-
选择 Next(下一步)。在审核并创建页面上,验证您的规则的详细信息,然后选择添加规则函数。您的新规则将显示在规则页面中。
合规性将显示正在评估...,直到 Amazon Config 收到来自您的 Amazon Lambda 函数的评估结果。如果规则和函数按预期运行,结果汇总将在几分钟后显示。您可以使用刷新按钮更新结果。
如果规则或函数没有按预期运行,您可能会在 Compliance 中看到以下一项内容:
-
No results reported (未报告任何结果) - Amazon Config 针对规则评估了您的资源。规则不适用于其范围内的 Amazon 资源,指定的资源已删除,或者评估规则已删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate。
如果规则不报告评估结果,该消息可能也会出现。
-
No resources in scope (范围中没有资源) - Amazon Config 无法对照规则来评估您记录的 Amazon 资源,因为您的任何资源都不在规则范围内。您可以在设置页面上选择 Amazon Config 记录哪些资源。
-
Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。
-
注意
当您使用 Amazon Config 控制台创建自定义 Lambda 规则时,系统会自动为您创建适当的权限。如果您使用 Amazon CLI 创建自定义 Lambda 规则,则需要使用 aws lambda add-permission 命令授予 Amazon Config 权限以调用您的 Lambda 函数。有关更多信息,请参阅《Amazon Lambda 开发人员指南》中的为 Amazon Lambda 使用基于资源的策略(Lambda 函数策略)。
在授予 Amazon Config 调用您的 Lambda 函数的权限之前,请参阅以下章节:基于 Amazon Lambda 资源的策略的安全最佳实践
基于 Amazon Lambda 资源的策略的安全最佳实践
作为安全性最佳实践,为了避免为整个服务主体名称 (SPN) 授予调用 Lambda 函数的调用权限,我们强烈建议您在基于 Lambda 资源的策略中使用调用请求中的 sourceARN 和/或 sourceAccountId 限制访问权限。
sourceARN 是调用 Lambda 函数的 Amazon Config 规则的 ARN。
sourceAccountId 是创建规则的用户的账户 ID。
在基于 Lambda 资源的策略中限制访问权限,有助于确保 Amazon Lambda 仅代表预期用户和场景访问您的资源。
要添加基于 SPN 的权限,您需要使用以下 CLI
aws lambda add-permission --function-namerule lambda function name--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com
添加基于 SourceAccountId 的权限
在创建规则之前,可以使用以下 CLI 向基于资源的策略添加基于 sourceAccountId 的权限
aws lambda add-permission --function-namerule lambda function name--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-accountyour account ID
同时添加基于 SourceArn 和 SourceAccountId 的权限
在创建规则之后,可以使用以下 CLI 向基于资源的策略添加基于 sourceARN 的权限。这仅允许特定规则 ARN 调用 Lambda 函数。
aws lambda add-permission --function-namerule lambda function name--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-accountyour account ID--source-arnARN of the created config rule
评估其他资源类型
您可以创建自定义 Lambda 规则来针对 Amazon Config 未记录的资源类型运行评估。如果要评估 Amazon Config 目前未记录的其他资源类型的合规性,这很有用。有关您可以使用自定义 Lambda 规则评估的其他资源类型的列表,请参阅《Amazon 资源类型参考》。
注意
《Amazon CloudFormation 用户指南》中的列表可能包含最近添加的、但尚不可用于在 Amazon Config 中创建自定义 Lambda 规则的资源类型。Amazon Config 将定期添加资源类型支持。
示例
-
您想评估自己账户中的 Amazon S3 Glacier 文件库。Amazon Config 目前未记录 Amazon S3 Glacier 文件库资源。
-
您创建一个 Amazon Lambda 函数,以评估您的 Amazon S3 Glacier 文件库是否符合您的账户要求。
-
您创建一个名为 evaluate-glacier-vaults 的自定义 Lambda 规则,然后将您的 Amazon Lambda 函数分配给该规则。
-
Amazon Config 调用您的 Lambda 函数,然后按照您的规则评估 Amazon S3 Glacier 文件库。
-
Amazon Config 返回评估结果,您可以查看您的规则的合规性结果。
注意
您可以查看 Amazon Config 时间线中的配置详细信息,并在 Amazon Config 支持的资源的 Amazon Config 控制台中查找资源。如果您配置 Amazon Config 以记录所有资源类型,则新添加的支持资源将被自动记录。有关更多信息,请参阅支持的资源类型。