为 Amazon Config 制定自定义规则 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Config 制定自定义规则

完成以下程序创建自定义规则。要创建自定义规则,您首先要创建一个 Amazon Lambda 函数,其中包含该规则的评估逻辑。然后,将该函数与您在 Amazon Config 创建的自定义规则关联。

重要

作为一种安全最佳实践,允许Amazon Config权限来调用您的 Lambda 函数,我们强烈建议您在基于资源的策略中限制 Lambda 的访问sourceARN和/或sourceAccountId在调用请求中。有关更多信息,请参阅的安全最佳实践Amazon Lambda基于资源的策略

为自定义 Config 规则创建 Amazon Lambda 函数

ALambda 函数是您上传到Amazon Lambda,并且由事件源发布给它的事件调用。如果 Lambda 函数与 Config 规则关联,Amazon Config将在规则触发规则时调用它。Lambda 函数然后评估由Amazon Config,并返回评估结果。有关 Lambda 函数的更多信息,请参阅。函数和事件源中的Amazon Lambda开发人员指南.

可以使用支持的编程语言Amazon Lambda为自定义规则创建 Lambda 函数。为简化这一任务,您可以自定义一个 Amazon Lambda 蓝图,或者重复使用 Amazon Config 规则 GitHub 存储库中的示例函数。

Amazon Lambda 蓝图

Amazon Lambda 控制台可以提供示例函数或蓝图,您可以通过添加自己的评估逻辑来对其进行自定义。当您创建函数时,您可以选择以下蓝图之一:

  • 配置规则更改触发— 触发时Amazon资源配置更改。

  • 配置规则-周期— 按照您选择的频率触发(例如,每 24 小时)。

Amazon Config Rules 的 GitHub 存储库

我们在 GitHub 上提供了一个自定义规则示例函数的公开存储库,GitHub 是一项基于网络的代码托管和共享服务。示例函数由 Amazon 社区开发和提供。如果想使用示例函数,您可以将其代码复制到新的 Amazon Lambda 函数中。要查看存储库,请访问 https://github.com/awslabs/aws-config-rules/

为您的自定义规则创建函数

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Lambda 控制台:https://console.aws.amazon.com/lambda/

  2. 在 Amazon Web Services Management Console菜单上,验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关支持区域的列表,请参阅。Amazon Config区域和终端节点中的Amazon Web Services 一般参考.

  3. 选择 Create a Lambda function (创建 Lambda 函数)

  4. 在存储库的使用蓝图页面上,您可以为Amazon Config规则作为起点,也可以通过选择跳过.

  5. Configure triggers 页面上,选择 Next

  6. 在存储库的基本信息页面,键入名称和描述。

  7. 对于 Runtime,请选择您编写函数时使用的编程语言。

  8. 对于 Code entry type,请选择您偏好的条目类型。如果您正在使用蓝图,请保留预配置的代码。

  9. 用您选择的代码条目类型要求的方法提供您的代码。如果您正在使用蓝图,那么函数代码由代码编辑器提供,且您可以自定义代码,以使其包含您自己的评估逻辑。当 Amazon Config 调用您的函数时,您的代码可以评估它提供的事件数据:

    • 对于基于 config-rule-change-triggered 蓝图的函数或由配置更改触发的函数,事件数据是更改的 Amazon 资源的配置项或过大配置项对象。

    • 对于基于 config-rule-periodic 蓝图的函数,或按照您选择的频率触发的函数,事件数据是一个 JSON 对象,包括有关评估触发时间的信息。

    • 对于这两种类型的函数,Amazon Config 会传递 JSON 格式的规则参数。您在 Amazon Config 中创建自定义规则时,可以定义传递哪个规则参数。

    • 有关 Amazon Config 在调用您的函数时发布的事件示例,请参阅 Amazon Config 规则的示例事件

  10. 适用于执行角色中,选择创建新角色AmazonPolicy templates.

  11. 对于 Role name,请输入名称。

  12. 适用于Policy templates中,选择AmazonConfig 规则权限.

  13. 验证详细信息并选择创建函数.

在 Amazon Config 中创建自定义规则

使用Amazon Config创建自定义规则并将其与 Lambda 函数关联。

创建自定义规则

  1. 通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console菜单中,验证区域选择器中的区域是否与您为自定义规则创建 Amazon Lambda 函数时使用的区域相同。

  3. Rules 页面,选择 Add rule

  4. 在存储库的指定规则类型页面上,选择创建自定义规则.

  5. Configure rule 页面,键入一个名称和描述。

  6. 适用于Amazon Lambda函数 ARN,指定 ARNAmazon Lambda分配给您的函数。

    注意

    您在此步骤中指定的 ARN 不能包含 $LATEST 限定词。您指定的 ARN 可以不带有版本限定词,也可以带有除 $LATEST 之外的任何限定词。Amazon Lambda 支持函数版本控制功能,并为每个版本都分配一个带有限定词的 ARN。Amazon Lambda 对最新版本使用 $LATEST 限定词。

  7. 对于 Trigger type,请选择下列一个或两个选项:

    • 配置更改–Amazon Config会在检测到配置更改时调用 Lambda 函数。

    • 定期–Amazon Config会按照您选择的频率(例如,每 24 小时)调用 Lambda 函数。

  8. 如果规则的触发器类型包括配置更改,指定下列选项之一A. 变更的范围与Amazon Config调用 Lambda 函数:

    • 所有更改— 当记录的任何资源Amazon Config创建、更改或删除。

    • 资源— 当与指定类型(或类型和标识符)匹配的任何资源被创建、更改或删除时。

    • 标签— 当具有指定标签的任何资源被创建、更改或删除时

  9. 如果规则的触发器类型包括定期中,指定Frequency与Amazon Config调用 Lambda 函数。

  10. 参数部分中,指定任何规则参数Amazon Lambda函数评估和所需的值。

  11. 选择 Next (下一步)。在存储库的审核和创建页面,验证您的规则的详细信息,然后选择添加规则函数. 您的新规则将显示在Rule页.

    合规性将显示正在评估...TILAmazon Config接收来自您的Amazon Lambdafunction. 如果规则和函数按预期运行,结果汇总将在几分钟后显示。您可以使用刷新按钮更新结果。

    如果规则或函数没有按预期运行,您可能会在 Compliance 中看到以下一项内容:

    • No results reported (未报告任何结果) - Amazon Config 针对规则评估了您的资源。规则不适用于其范围内的 Amazon 资源,指定的资源已删除,或者评估规则已删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • No resources in scope (范围中没有资源) - Amazon Config 无法对照规则来评估您记录的 Amazon 资源,因为您的任何资源都不在规则范围内。您可以选择哪些资源Amazon Config记录设置页.

    • Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。

注意

当您使用 Amazon Config 控制台创建自定义规则时,系统会自动为您创建适当权限。如果您创建自定义规则并使用Amazon CLI,你需要给Amazon Config权限调用 Lambda 函数,使用aws lambda add-permission命令。有关更多信息,请参阅 。对 使用基于资源的策略Amazon Lambda(Lambda 函数策略)中的Amazon Lambda开发人员指南.

在给予Amazon Config权限调用 Lambda 函数,请参阅以下部分的安全最佳实践Amazon Lambda基于资源的策略.

的安全最佳实践Amazon Lambda基于资源的策略

作为安全最佳实践,为了避免授予调用整个服务主体名称 (SPN) 的权限来调用 Lambda 函数,我们强烈建议您在基于资源的 Lambda 策略中限制访问权限sourceARN和/或sourceAccountId在调用请求中。

这些区域有:sourceARN是的 ARNAmazon Config规则正在调用 Lambda 函数。

这些区域有:sourceAccountId是创建规则的用户的帐户 ID。

在基于资源的 Lambda 策略中限制访问有助于确保Amazon Lambda仅代表预期用户和方案访问您的资源。

要添加基于 SPN 的权限,您需要使用以下 CLI

aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com

添加基于源帐户 ID 的权限

在创建规则之前,您可以添加sourceAccountId使用以下 CLI 对基于资源的策略进行基于资源的权限

aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-account your account ID

添加基于 SourceArn 的权限和源帐户 ID 的权限

创建规则后,您可以添加sourceARN基于资源的权限与以下 CLI 一起使用基于资源的策略。这只允许特定规则 ARN 调用 Lambda 函数。

aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-account your account ID --source-arn ARN of the created config rule

评估其他资源类型

您可以创建自定义规则来针对 Amazon Config 不记录的资源类型运行评估。如果要评估这种资源类型的合规性,这会很有用。Amazon Config当前没有记录。有关您可以使用自定义规则评估的其他资源类型的列表,请参阅 Amazon 资源类型参考

注意

《Amazon CloudFormation 用户指南》中的列表可能包含最近添加的、但尚不可用于在 Amazon Config 中创建自定义规则的资源类型。Amazon Config 将定期添加资源类型支持。

Example

  1. 您希望在您的账户中评估 Amazon S3 Glacier 文件库。Amazon S3 Glacier 文件库资源目前未记录Amazon Config.

  2. 您创建Amazon Lambda函数,用于评估 Amazon S3 Glacier 文件库是否符合您的账户要求。

  3. 创建一个名为 evaluate-glacier-vaults 的自定义规则,然后将您的 Amazon Lambda 函数分配给该规则。

  4. Amazon Config将调用 Lambda 函数,然后按照您的规则评估 Amazon S3 Glacier 文件库。

  5. Amazon Config 返回评估结果,您可以查看您的规则的合规性结果。

注意

您可以查看 Amazon Config 时间线中的配置详细信息,并在 Amazon Config 支持的资源的 Amazon Config 控制台中查找资源。如果您配置 Amazon Config 以记录所有资源类型,则新添加的支持资源将被自动记录。有关更多信息,请参阅支持的资源类型