创建Amazon Config自定义策略规则 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建Amazon Config自定义策略规则

你可以创建Amazon Config来自的自定义策略规则Amazon Web Services Management Console,Amazon CLI,或Amazon ConfigAPI。有关如何使用 Guard 编写规则的更多信息,请参阅编写警卫规则在Amazon CloudFormation警卫用户指南。有关受支持的资源类型的架构的更多信息Amazon Config可以评估一下,看看资源类型在Amazon Config资源架构 GitHub 存储库。

创建Amazon Config自定义策略规则(控制台)

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 在Amazon Web Services Management Console菜单中,验证区域选择器是否设置为Amazon支持的区域Amazon Config规则。有关受支持的区域列表,请参阅Amazon Config区域和终端节点Amazon Web Services 一般参考.

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. 指定规则类型页面,选择使用 Guard 创建自定义规则.

  6. 配置规则页面上,完成以下步骤创建规则:

    1. 对于规则名称,为规则键入唯一名称。

    2. 对于说明,请为规则键入描述。

    3. 对于保护运行时版本,请为你选择运行时系统Amazon Config自定义策略规则。

    4. 对于规则内容,你可以使用你的规则的 Guard 自定义策略来填充它。有关自定义 Guard 策略的结构和功能的更多信息,请参阅Amazon CloudFormationGuard 2.0 的操作模式在警卫队中 GitHub 存储库。

      以下示例显示策略定义Amazon Config的自定义策略规则版本Amazon Config托管式规则dynamodb-pitr-enabled

      # This rule checks if point in time recovery (PITR) is enabled on active Amazon DynamoDB tables let status = ['ACTIVE'] rule tableisactive when resourceType == "AWS::DynamoDB::Table" { configuration.tableStatus == %status } rule checkcompliance when resourceType == "AWS::DynamoDB::Table" tableisactive { let pitr = supplementaryConfiguration.ContinuousBackupsDescription.pointInTimeRecoveryDescription.pointInTimeRecoveryStatus %pitr == "ENABLED" }
    5. 对于触发器,Amazon Config自定义策略规则由启动配置更改. 将预先选择此选项。

      指定下列任一选项更改范围

      • 资源— 创建、更改或删除与指定资源类型或类型加标识符匹配的资源时。

      • 标签— 创建、更改或删除具有指定标签的资源时。

      • 所有更改— 当资源被记录时Amazon Config已创建、更改或删除。

    6. 如果您的规则包含参数,请在规则参数部分,您可以自定义所提供密钥的值。参数是您的资源为符合规则而必须具备的属性。

  7. 编辑完规则后,选择下一页. 在审核和创建页面,您可以先查看所有编辑选项,然后再将规则添加到您的Amazon账户。

  8. 查看完规则后,选择添加规则.

创建Amazon Config自定义策略规则 (Amazon CLI)

使用 put-config-rule 命令。

这些区域有:Owner字段应为CUSTOM_POLICY. 以下附加字段是必填字段Amazon Config自定义策略规则:

  • Runtime: 适合你的运行时系统Amazon Config自定义策略规则。

  • PolicyText: 包含您的逻辑的策略定义Amazon Config自定义策略规则。

  • EnableDebugLogDelivery: 用于为您的启用调试日志记录的布尔表达式Amazon Config自定义策略规则。默认值为 false

创建Amazon Config自定义策略规则 (API)

使用 PutConfigRule 操作。

这些区域有:Owner字段应为CUSTOM_POLICY. 以下附加字段是必填字段Amazon Config自定义策略规则:

  • Runtime: 适合你的运行时系统Amazon Config自定义策略规则。

  • PolicyText: 定义你的逻辑的策略Amazon Config自定义策略规则。

  • EnableDebugLogDelivery: 用于为您的启用调试日志记录的布尔表达式Amazon Config自定义策略规则。默认值为 false