Amazon Config 规则的组成部分 - Amazon Config
Amazon Config 规则是如何运作的触发器类型评估模式规则元数据
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 规则的组成部分

Amazon Config 规则会评估您的 Amazon 资源的配置设置。本页讨论规则的组成部分。

Amazon Config 规则是如何运作的

在 Amazon Config 持续跟踪您的资源中出现的配置更改时,它会检查这些更改是否不符合规则中的任何条件。如果资源不符合规则,则会将该资源和规则 Amazon Config 标记为不合规

Amazon Config 一条规则有四种可能的评估结果。

评估结果 描述
COMPLIANT 该规则通过了合规性检查的条件。
NON_COMPLIANT 该规则不符合合规性检查的条件。
ERROR 其中一个必填/可选参数无效、类型不正确或格式不正确。
NOT_APPLICABLE 用于筛选出无法应用规则逻辑的资源。例如,该alb-desync-mode-check规则仅检查应用程序负载均衡器,而忽略网络负载均衡器和网关负载均衡器。

例如,在创建 EC2 卷时, Amazon Config 可以根据要求对卷进行加密的规则来评估该卷。如果卷未加密,则会将该卷和规则 Amazon Config 标记为不合规。 Amazon Config 还可以检查您的所有资源以了解整个账户的需求。例如, Amazon Config 可以检查账户中的 EC2 卷数是否保持在所需的总数之内,或者某个账户是否 Amazon CloudTrail 用于日志记录。

触发器类型

向账户添加规则后, Amazon Config 将您的资源与规则的条件进行比较。在这次初始评估之后,每次触发评估时都会 Amazon Config 继续运行评估。规则中会定义评估触发器,可以包括以下类型。

触发器类型 描述
配置更改 Amazon Config 当存在与规则范围匹配的资源并且资源的配置发生变化时,会对规则进行评估。评估将在 Amazon Config 发送配置项目变更通知后运行。

通过定义规则的范围来选择哪些资源启动评估。范围可以包括:

  • 一个或多个资源类型

  • 资源类型和资源 ID 的组合

  • 标签键和值的组合

  • 当创建、更新或删除任何记录的资源时

Amazon Config 当它检测到与规则范围相匹配的资源发生变化时,就会运行评估。您可以使用范围来定义哪些资源启动评估。
定期 Amazon Config 按您选择的频率对规则进行评估;例如,每 24 小时运行一次。
混合 有些规则既有配置更改也有定期触发器。对于这些规则,它 Amazon Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。

评估模式

Amazon Config 规则有两种评估模式。

评估模式 描述
主动

使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 Amazon 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。
侦查 使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。
注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。

有关更多信息,请参阅为 Amazon Config 规则开启主动评估

主动评估的托管规则列表

有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

支持主动评估的资源类型列表

以下是支持主动评估的资源类型列表:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Amazon Config 规则元数据

Amazon Config 规则可以包含以下可变元数据:

默认名称

defaultName 是规则实例在默认情况下将获得的名称。

描述

规则描述提供了规则评估内容的上下文。 Amazon Config 控制台具有 256 个字符的限制。作为最佳实践,规则描述应以“检查是否”开头,并包括对 NON_COMPLIANT 场景的描述。在规则描述中首次提及时,服务名称应以 Amazon 或 Amazon 开头。例如, Amazon CloudTrail 或者用 Amazon CloudWatch 代替 CloudTrail 或 CloudWatch 首次使用。服务名称可以在后续引用后使用缩写。

范围

范围决定了规则所针对的资源类型。有关支持的资源类型列表,请参阅支持的资源类型

compulsoryInputParameter详细信息

compulsoryInputParameter详细信息用于规则进行评估所需的参数。例如,access-keys-rotated 托管规则包含 maxAccessKeyAge 作为必要参数。如果为必要参数,则不会被标记为(可选)。必须指定每个参数的类型。类型可以是 “字符串”、“整数”、“双精度”、“CSV”、“布尔值” 和 “StringMap” 之一。

optionalInputParameter详细信息

optionalInputParameter详细信息用于规则评估时可选的参数。例如,elasticsearch-logs-to-cloudwatch 托管规则包含 logTypes 作为可选参数。必须指定每个参数的类型。类型可以是 “字符串”、“整数”、“双精度”、“CSV”、“布尔值” 和 “StringMap” 之一。

supportedEvaluationModes

supportedEvaluationModes 决定何时对资源进行评估,无论是在部署资源之前,还是在部署资源之后。

DETECTIVE 用于评估已经部署的资源。这允许您评估现有资源的配置设置。PROACTIVE 用于在资源部署之前对其进行评估。

这使您可以评估一组资源属性(如果用于定义 Amazon 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。

您可以指定 to supportedEvaluationModes DETECTIVE PROACTIVE、或两者兼DETECTIVE而有之PROACTIVE。必须指定评估模式,且此字段不能为空。

注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。