本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则 **重要** 必须先创建并启动 Amazon Config 配置记录器才能使用创建 Amazon Config 托管规则 Amazon CloudFormation。有关更多信息,请参阅[管理配置记录器](https://docs.amazonaws.cn/config/latest/developerguide/stop-start-recorder.html)。 对于支持的 Amazon Config 托管规则,您可以使用 Amazon CloudFormation 模板为您的账户创建规则或更新现有 Amazon CloudFormation 堆栈。堆栈是您作为单个单元配置和更新的相关资源的集合。在使用模板启动堆栈时,将为您创建 Amazon Config 托管规则。模板仅创建规则,不创建其他 Amazon 资源。 **注意** Amazon Config 托管规则更新后,模板会根据最新更改进行更新。要为规则保存特定版本的模板,请下载该模板并将其上传到您的 S3 存储桶。 有关使用 Amazon CloudFormation 模板的更多信息,请参阅《*Amazon CloudFormation 用户指南》 Amazon CloudFormation*中的 “[入门](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/GettingStarted.html)”。 **为 Amazon Config 托管规则启动 Amazon CloudFormation 堆栈** 1. 前往[CloudFormation控制台](https://console.amazonaws.cn/cloudformation)并创建一个新堆栈。 1. 对于 **Specify template(指定模板)**: + 如果您已下载模板,请选择 **Upload a template file(上传模板文件)**,然后选择 **Choose file(选择文件)**以上传模板。 + 您也可以选择 **Amazon S3 URL**,然后输入模板 URL。`http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/THE_RULE_IDENTIFIER.template` **注意** 规则标识符应写在 ALL\$1CAPS\$1WITH\$1UNDERSCORES 中。例如,CLOUDWATCH\$1LOG\$1GROUP\$1ENCRYPTED cloudwatch-log-group-encrypted 对于某些规则,规则标识符与规则名称不同。确保使用规则标识符。例如,restricted-ssh 的规则标识符为 INCOMING\$1SSH\$1DISABLED。 1. 选择**下一步**。 1. **在 “指定堆栈详细信息**” 中,键入堆栈名称并输入 Amazon Config 规则的参数值。例如,如果您使用的是 `DESIRED_INSTANCE_TYPE` 托管规则模板,则可以指定实例类型,例如“m4.large”。 1. 选择**下一步**。 1. 对于 **Options**,您可以创建标签或配置其他高级选项。这些操作不是必需的。 1. 选择**下一步**。 1. 对于 **Review**,验证模板、参数和其他选项是否正确。 1. 选择**创建**。将在几分钟内创建堆栈。您可以在 [Amazon Config 控制台](https://console.amazonaws.cn/config)中查看创建的规则。 您可以使用模板为 Amazon Config 托管规则创建单个堆栈或更新账户中的现有堆栈。如果您删除堆栈,也将删除从该堆栈创建的托管规则。有关更多信息,请参阅《*Amazon CloudFormation 用户指南*》中的[使用堆栈](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/stacks.html)。