AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

手动评估您的资源

您可以使用 AWS Config 手动按照 AWS Config 规则评估您的资源或删除评估结果。

评估您的资源

当您创建自定义规则或使用托管规则时,AWS Config 按照这些规则评估您的资源。您可以按照您的规则对资源进行按需评估。例如,当您创建自定义规则并且希望验证 AWS Config 是否正确评估您的资源或确定 AWS Lambda 函数的评估逻辑是否有问题时,这很有用。

示例

  1. 您创建一个自定义规则,用以评估您的 IAM 用户是否具有有效的访问密钥。

  2. AWS Config 按照您的自定义规则评估资源。

  3. 在您的账户中存在一个没有有效访问密钥的 IAM 用户。您的规则不正确将此资源标记为不合规。

  4. 您修复规则并重新开始评估。

  5. 由于您修复了规则,规则正确评估您的资源,并将 IAM 用户资源标记为不合规。

手动评估您的资源 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 在 AWS 管理控制台菜单上,验证区域选择器是否设置为支持 AWS Config 规则的区域。有关支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

  3. 在导航窗格中,选择 RulesRules 页面显示了您的规则以及每个规则的合规性状态。

  4. 从列表中选择规则。

  5. Re-evaluate rule 部分,选择 Re-evaluate

  6. AWS Config 开始按照您的规则评估资源。

注意

您可以按照每分钟一个规则的频率重新计算。您必须等待 AWS Config 完成您的规则的评估,然后您才能开始另一个评估。如果规则同时被更新或同时被删除,您将无法运行评估。

手动评估您的资源 (AWS CLI)

  • 使用 start-config-rules-evaluation 命令。

    Copy
    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config 开始按照您的规则评估记录的资源配置。

    您还可以在请求中指定多个规则。

    Copy
    aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

手动评估您的资源 (AWS Config API)

删除评估结果

AWS Config 评估您的规则后,您可以在该规则 Rules 页或 Rules details 页上查看评估结果。如果评估结果不正确,或者如果您要重新评估,您可以删除该规则的当前评估结果。例如,如果您的规则错误地评估您的资源或从您最近已从账户中删除资源,您可以删除评估结果,然后运行新的评估。

手动删除评估结果 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 在 AWS 管理控制台菜单上,验证区域选择器是否设置为支持 AWS Config 规则的区域。有关支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

  3. 在导航窗格中,选择 RulesRules 页面显示了您的规则以及合规性状态。

  4. 从列表中选择规则。

  5. Delete evaluation results 部分,选择 Delete results。AWS Config 删除此规则的评估结果。

  6. 系统提示时,选择 Delete。删除的评估是无法检索的。

  7. 在评估结果被删除后,您可以手动开始新的评估。

手动删除评估结果 (AWS CLI)

  • 使用 delete-evaluation-results 命令:

    Copy
    $ aws configservice delete-evaluation-results --config-rule-name ConfigRuleName

    AWS Config 删除规则的评估结果。

手动删除评估结果 (AWS Config API)