添加 Amazon Config 规则 - Amazon Config
使用 控制台使用 Amazon SDKs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

添加 Amazon Config 规则

您可以使用 Amazon Config 控制台或 Amazon SDKs 添加规则。

添加规则(控制台)

规则页面在一个表中显示您的规则及其当前的合规性结果。每条规则的结果都是 “正在评估...” 直到根据规则 Amazon Config 完成对您的资源进行评估。您可以使用刷新按钮更新结果。 Amazon Config 完成评估后,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 使用查看 Amazon 资源的合规信息和评估结果 Amazon Config

注意

添加新规则时, Amazon Config 会评估资源清单中的适用资源,包括以前记录的资源。例如,如果您记录了AWS::IoT::Policy资源,但后来将其排除在记录范围之外,则 Amazon Config 会将初始配置项目 (CIs) 保留在清单中。尽管 CIs 当它们的关联资源类型被排除在记录之外时 Amazon Config 不再更新它们,但它会保留其上次录制的状态,并在您添加适用的规则时对其进行评估。

Amazon Config 不评估不在资源清单中的资源。例如,如果您添加了规则,但没有记录并且从未记录过AWS::Amplify::Branch资源,则 Amazon Config 无法评估您账户中的 Amazon Amplify 分支机构是合规还是不合规。

有关更多信息,请参阅 使用录制 Amazon 资源 Amazon Config

添加一项规则

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. 指定规则类型页面上,通过完成以下步骤指定规则类型:

    1. 在搜索字段中键入内容,以便按规则名称、描述和标签筛选托管规则列表。例如,键入EC2返回评估 EC2 资源类型的规则,或者键入定期返回定期触发的规则。

    2. 您还可以创建自己的自定义规则。选择使用 Lambda 创建自定义规则或使用 Guard 创建自定义规则,然后按照创建自定义 Amazon Config Lambda 规则或创建 Amazon Config自定义策略规则中的步骤进行操作。

  6. 创建规则页面上,通过完成以下步骤来配置规则:

    1. 对于 Name,请输入一个唯一的规则名称。

    2. 对于描述,键入规则的描述。

    3. 对于评估模式,请选择在资源创建和管理过程中何 Amazon Config 时评估您的资源。根据规则, Amazon Config 可以在部署资源之前、部署资源之后或两者兼而有之地评估您的资源配置。

      1. 选择开启主动评估,以允许您在部署资源之前对资源的配置设置进行评估。

        开启主动评估后,您可以使用 StartResourceEvaluationAPI 和 GetResourceEvaluationSummaryAPI 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。

        有关使用此命令的更多信息,请参阅使用 Amazon Config 规则评估您的资源。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

      2. 选择开启侦查评估以评估您的现有资源的配置设置。

        对于侦查评估,有两种类型的触发器:在配置发生更改时定期

        1. 如果您的规则的触发器类型包括配置更改,请为 Amazon Config 调用您的 Lambda 函数的更改范围指定以下选项之一:

          • 资源 – 在创建、更改或删除与指定资源类型(或类型和标识符)匹配的资源时。

          • 标签 – 在创建、更改或删除包含指定标签的资源时。

          • 所有更改-创建、更改或删除记录的资源时。 Amazon Config

          Amazon Config 当它检测到与规则范围相匹配的资源发生变化时,就会运行评估。您可以使用范围来定义哪些资源启动评估。

        2. 如果您的规则的触发器类型包括定,请指定 Amazon Config 调用 Lambda 函数的频率

    4. 对于参数,如果您的规则包含参数,可以自定义所提供的键的值。参数是资源在被视为符合规则之前必须遵守的属性。

  7. 审核和创建页面上,查看您的所有选择,然后再将规则添加到您的 Amazon Web Services 账户。如果规则没有按预期运行,您可能会在合规性中看到以下内容之一:

    • 未报告任何结果- Amazon Config 根据规则评估了您的资源。该规则不适用于其范围内的 Amazon 资源,指定的资源已被删除,或者评估结果被删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • 范围内没有资源- Amazon Config 无法根据此规则评估您记录的 Amazon 资源,因为您的所有资源都不在该规则的范围内。要获得评估结果,请编辑规则并更改其范围,或者使用 “设置” 页面添加 Amazon Config 要记录的资源。

    • Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。

添加规则 (Amazon SDKs)

以下代码示例演示如何使用 PutConfigRule

CLI
Amazon CLI

添加 Amazon 托管 Config 规则

以下命令提供用于添加 Amazon 托管 Config 规则的 JSON 代码:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json 是一个包含规则配置的 JSON 文件:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

对于该ComplianceResourceTypes属性,此 JSON 代码将范围限制为该AWS::EC2::Instance类型的资源,因此 Amazon Config 将仅根据规则评估 EC2 实例。由于该规则是托管规则,因此 Owner 属性设置为 AWSSourceIdentifier 属性设置为规则标识符 REQUIRED_TAGS。对于 InputParameters 属性,指定了规则所需的标签键 CostCenterOwner

如果命令成功, Amazon Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules命令并指定规则名称。

添加客户托管的 Config 规则

以下命令提供用于添加客户托管 Config 规则的 JSON 代码:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json 是一个包含规则配置的 JSON 文件:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

对于该ComplianceResourceTypes属性,此 JSON 代码将范围限制为该AWS::EC2::Instance类型的资源,因此 Amazon Config 将仅根据规则评估 EC2 实例。由于此规则是客户托管规则,因此该Owner属性设置为CUSTOM_LAMBDA,并且该SourceIdentifier属性设置为 Lambda 函数 Amazon 的 ARN。SourceDetails 对象为必填项。当 Confi Amazon g 调用 Amazon Lambda 函数来根据规则评估资源时,为该InputParameters属性指定的参数将传递给 Lambda 函数。

如果命令成功, Amazon Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules命令并指定规则名称。

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考PutConfigRule中的。

Python
适用于 Python 的 SDK(Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • 有关 API 的详细信息,请参阅适用PutConfigRulePython 的Amazon SDK (Boto3) API 参考