AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

使用 AWS 托管规则

您可以从 AWS 管理控制台、AWS CLI 或 AWS Config API 设置和激活 AWS 托管规则。

设置和激活 AWS 托管规则(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 在 AWS 管理控制台 菜单上,验证区域选择器是否设置为支持 AWS Config 规则的区域。有关支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. Rules 页面上,可以执行以下操作:

    • 在搜索字段中键入,以便按规则名称、描述和标签筛选结果。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回定期触发的规则。

    • 选择箭头图标可查看下一页规则。最近添加的规则标记为 New

  6. 选择要创建的规则。

  7. Configure rule 页面,通过完成以下步骤来配置规则:

    1. 对于 Name,请输入一个唯一的规则名称。

    2. 如果您的规则的触发类型包括 Configuration changes,请针对 Scope of changes 指定以下选项之一以便 AWS Config 按其调用您的 Lambda 函数:

      • Resources – 当与指定资源类型(或类型和标识符)匹配的资源被创建、更改或删除时。

      • Tags – 当具有指定标签的资源被创建、更改或删除时。

      • All changes – 当 AWS Config 记录的资源被创建、更改或删除时。

    3. 如果您的规则的触发类型包括 Periodic,请指定 Frequency,以便 AWS Config 按其调用您的 Lambda 函数。

    4. 如果您的规则的 Rule parameters 部分包含参数,则您可以自定义提供的键的值。参数是您的资源为符合规则而必须具备的属性。

  8. 选择 Save。您的新规则将显示在 Rules 页面中。

    在 AWS Config 获得您的规则的评估结果之前,Compliance 将显示 Evaluating...。关于结果的汇总将在几分钟后显示。您可以使用刷新按钮更新结果。

    如果规则或函数没有按预期运行,您可能会在 Compliance 中看到以下一项内容:

    • No results reported - AWS Config 根据规则评估了您的资源。规则不适用于其范围内的 AWS 资源,指定的资源已删除,或者评估规则已删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • No resources in scope - AWS Config 无法对照规则来评估您记录的 AWS 资源,因为您的任何资源都不在规则范围内。要获取评估结果,请编辑规则并更改其范围,或者使用 Settings 页添加 AWS Config 要记录的资源。

    • Evaluations failed - 如需获得可帮助您确定问题的信息,请选择规则名称以打开其详细页面并查看错误消息。

设置和激活 AWS 托管规则 (AWS CLI)

设置和激活 AWS 托管规则 (AWS Config API)