添加、更新和删除 Amazon Config 规则 - Amazon Config
使用 控制台使用 Amazon 软件开发工具包使用 Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

添加、更新和删除 Amazon Config 规则

您可以使用 Amazon Config 控制台或 Amazon SDK 查看、添加和删除您的规则。

添加、查看、更新和删除规则(控制台)

规则页面在一个表中显示您的规则及其当前的合规性结果。每条规则的结果都是 “正在评估...” 直到根据规则 Amazon Config 完成对您的资源进行评估。您可以使用刷新按钮更新结果。 Amazon Config 完成评估后,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 查看合规信息和评估结果

注意

Amazon Config 仅评估其记录的资源类型。例如,如果您添加了启用 cloudtra il 的规则,但未记录 CloudTrail 跟踪资源类型,则 Amazon Config 无法评估您账户中的跟踪是合规还是不合规。有关更多信息,请参阅 录制 Amazon 资源

添加一项规则

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. 指定规则类型页面上,通过完成以下步骤指定规则类型:

    1. 在搜索字段中键入内容,以便按规则名称、描述和标签筛选托管规则列表。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回定期触发的规则。

    2. 您还可以创建自己的自定义规则。选择使用 Lambda 创建自定义规则或使用 Guard 创建自定义规则,然后按照创建自定义 Amazon Config Lambda 规则或创建 Amazon Config自定义策略规则中的步骤进行操作。

  6. 创建规则页面上,通过完成以下步骤来配置规则:

    1. 对于 Name,请输入一个唯一的规则名称。

    2. 对于描述,键入规则的描述。

    3. 对于评估模式,请选择在资源创建和管理过程中何 Amazon Config 时评估您的资源。根据规则, Amazon Config 可以在部署资源之前、部署资源之后或两者兼而有之地评估您的资源配置。

      1. 选择开启主动评估,以允许您在部署资源之前对资源的配置设置进行评估。

        开启主动评估后,您可以使用StartResource评估 API 和 GetResourceEvaluationSummaryAPI 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。

        有关使用此命令的更多信息,请参阅使用 Amazon Config 规则评估您的资源。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

      2. 选择开启侦查评估以评估您的现有资源的配置设置。

        对于侦查评估,有两种类型的触发器:在配置发生更改时定期

        1. 如果您的规则的触发器类型包括配置更改,请为 Amazon Config 调用您的 Lambda 函数的更改范围指定以下选项之一:

          • 资源 – 在创建、更改或删除与指定资源类型(或类型和标识符)匹配的资源时。

          • 标签 – 在创建、更改或删除包含指定标签的资源时。

          • 所有更改-创建、更改或删除记录的资源时。 Amazon Config

          Amazon Config 当它检测到与规则范围相匹配的资源发生变化时,就会运行评估。您可以使用范围来定义哪些资源启动评估。

        2. 如果您的规则的触发器类型包括定,请指定 Amazon Config 调用 Lambda 函数的频率

    4. 对于参数,如果您的规则包含参数,可以自定义所提供的键的值。参数是资源在被视为符合规则之前必须遵守的属性。

  7. 在 “查看并创建” 页面上,查看您的所有选择,然后再将规则添加到您的 Amazon Web Services 账户。如果规则没有按预期运行,您可能会在合规性中看到以下内容之一:

    • 未报告任何结果- Amazon Config 根据规则评估了您的资源。该规则不适用于其范围内的 Amazon 资源,指定的资源已被删除,或者评估结果被删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • 范围内没有资源- Amazon Config 无法根据此规则评估您记录的 Amazon 资源,因为您的所有资源都不在该规则的范围内。要获得评估结果,请编辑规则并更改其范围,或者使用 “设置” 页面添加 Amazon Config 要记录的资源。

    • Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。

查看您的规则

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. 规则” 页面显示您当前存在的所有规则 Amazon Web Services 账户。其中列出每条规则的名称、关联的修正操作和合规性状态。

    • 选择 Add rule 以开始创建规则。

    • 选择规则可查看其设置,或者选择规则,然后选择查看详细信息

    • 当规则评估资源时,请查看规则的合规性状态。

    • 选择规则,然后选择编辑规则以更改该规则的配置设置,并为不合规的规则设置修正操作。

更新规则

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. 选择规则,然后为要更新的规则选择编辑规则

  5. 编辑规则页面上修改设置,以根据需要更改您的规则。

  6. 选择保存

删除一项规则

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. 从表中选择要删除的规则。

  5. 操作下拉列表中,选择删除规则

  6. 出现提示时,键入“Delete”(此条目区分大小写),然后选择删除

可以使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 Amazon 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。

资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的 “Amazon 公共扩展” 中找到资源类型架构,也可以使用以下 CLI 命令找到:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

有关更多信息,请参阅《 Amazon CloudFormation 用户指南》中参考的通过 Amazon CloudFormation 注册表管理扩展以及Amazon 资源和属性类型

注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。

开启主动评估

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console 菜单中,确认区域选择器设置为支持 Amazon Config 规则的区域。有关支持的 Amazon 区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和端点

  3. 在左侧导航窗格中,选择 Rules。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

  4. 选择规则,然后为要更新的规则选择编辑规则

  5. 对于评估模式,选择开启主动评估,以允许您在部署资源之前对资源的配置设置进行评估。

  6. 选择保存

开启主动评估后,您可以使用StartResource评估 API 和 GetResourceEvaluationSummaryAPI 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。

例如,从 StartResourceEvaluation API 开始:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您应该会在输出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然后,使用ResourceEvaluationId带有 GetResourceEvaluationSummary API 的来检查评估结果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您应收到类似以下内容的输出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

要查看有关评估结果的其他信息,例如哪条规则将资源标记为 “不合规”,请使用资源 API。GetCompliance DetailsBy

查看、更新或添加和删除规则 (Amazon SDK)

以下代码示例演示如何使用 DescribeConfigRules

CLI
Amazon CLI

获取 Amazon Config 规则的详细信息

以下命令返回名为的 Amazon Config 规则的详细信息InstanceTypesAreT2micro

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

输出:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}
PowerShell
用于 PowerShell

示例 1:此示例列出了账户的配置规则以及选定的属性。

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

输出:

ConfigRuleName                                    ConfigRuleId       ConfigRuleArn                                                        ConfigRuleState
--------------                                    ------------       -------------                                                        ---------------
ALB_REDIRECTION_CHECK                             config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated                               config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required        config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE

  • 有关 API 的详细信息,请参阅 Amazon Tools for PowerShell Cmdlet 参考中的DescribeConfig规则

Python
SDK for Python (Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def describe_config_rule(self, rule_name):
        """
        Gets data for the specified rule.

        :param rule_name: The name of the rule to retrieve.
        :return: The rule data.
        """
        try:
            response = self.config_client.describe_config_rules(
                ConfigRuleNames=[rule_name]
            )
            rule = response["ConfigRules"]
            logger.info("Got data for rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't get data for rule %s.", rule_name)
            raise
        else:
            return rule

  • 有关 API 的详细信息,请参阅适用于 Python 的Amazon SDK (Boto3) API 参考中的DescribeConfig规则

以下代码示例演示如何使用 PutConfigRule

CLI
Amazon CLI

添加 Amazon 托管 Config 规则

以下命令提供用于添加 Amazon 托管 Config 规则的 JSON 代码:

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json 是一个包含规则配置的 JSON 文件:

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

对于该ComplianceResourceTypes属性,此 JSON 代码将范围限制为该AWS::EC2::Instance类型的资源,因此 Amazon Config 将仅根据规则评估 EC2 实例。由于该规则是托管规则,因此 Owner 属性设置为 AWSSourceIdentifier 属性设置为规则标识符 REQUIRED_TAGS。对于 InputParameters 属性,指定了规则所需的标签键 CostCenterOwner

如果命令成功, Amazon Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules 命令并指定规则名称。

添加客户托管的 Config 规则

以下命令将提供用于添加客户托管 Config 规则的 JSON 代码:

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json 是一个包含规则配置的 JSON 文件:

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

对于该ComplianceResourceTypes属性,此 JSON 代码将范围限制为该AWS::EC2::Instance类型的资源,因此 Amazon Config 将仅根据规则评估 EC2 实例。由于此规则是客户托管规则,因此该Owner属性设置为CUSTOM_LAMBDA,并且该SourceIdentifier属性设置为 Lambda 函数 Amazon 的 ARN。SourceDetails 对象为必填项。当 Confi Amazon g 调用 Amazon Lambda 函数来根据规则评估资源时,为该InputParameters属性指定的参数将传递给 Lambda 函数。

如果命令成功, Amazon Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules 命令并指定规则名称。

  • 有关 API 的详细信息,请参阅《Amazon CLI 命令参考》中的PutConfig规则

Python
SDK for Python (Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • 有关 API 的详细信息,请参阅 Python Amazon SDK 中的PutConfig规则 (Boto3) API 参考

以下代码示例演示如何使用 DeleteConfigRule

CLI
Amazon CLI

删除 C Amazon onfig 规则

以下命令删除名为的 Amazon Config 规则MyConfigRule

aws configservice delete-config-rule --config-rule-name MyConfigRule

  • 有关 API 的详细信息,请参阅《Amazon CLI 命令参考》中的DeleteConfig规则

Python
SDK for Python (Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def delete_config_rule(self, rule_name):
        """
        Delete the specified rule.

        :param rule_name: The name of the rule to delete.
        """
        try:
            self.config_client.delete_config_rule(ConfigRuleName=rule_name)
            logger.info("Deleted rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't delete rule %s.", rule_name)
            raise

  • 有关 API 的详细信息,请参阅 Python Amazon SDK 中的DeleteConfig规则 (Boto3) API 参考

可以使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 Amazon 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。

资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的 “Amazon 公共扩展” 中找到资源类型架构,也可以使用以下 CLI 命令找到:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

有关更多信息,请参阅《 Amazon CloudFormation 用户指南》中参考的通过 Amazon CloudFormation 注册表管理扩展以及Amazon 资源和属性类型

注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。

开启主动评估

使用 put-config-rule 命令并为 EvaluationModes 启用 PROACTIVE

开启主动评估后,您可以使用 start-resource-evaluation CLI 命令和 get- resource-evaluation- summary CLI 命令来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。

例如,先使用 start-resource-evaluation 命令:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您应该会在输出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然后,将 ResourceEvaluationIdget-resource-evaluation-summary 结合使用来检查评估结果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您应收到类似以下内容的输出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

要查看有关评估结果的更多信息,例如哪条规则将资源标记为 NON_COMPLIANT,请使用 get-compliance-details-by-resource CLI 命令。

注意

有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

可以使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 Amazon 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。

资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的 “Amazon 公共扩展” 中找到资源类型架构,也可以使用以下 CLI 命令找到:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

有关更多信息,请参阅《 Amazon CloudFormation 用户指南》中参考的通过 Amazon CloudFormation 注册表管理扩展以及Amazon 资源和属性类型

注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。

为规则开启主动评估

使用 “PutConfig规则” 操作并启PROACTIVEEvaluationModes

开启主动评估后,您可以使用StartResource评估 API 和 GetResourceEvaluationSummaryAPI 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。例如,从 StartResourceEvaluation API 开始:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

您应该会在输出中收到 ResourceEvaluationId

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

然后,使用ResourceEvaluationId带有 GetResourceEvaluationSummary API 的来检查评估结果:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

您应收到类似以下内容的输出:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

要查看有关评估结果的其他信息,例如哪条规则将资源标记为 “不合规”,请使用资源 API。GetCompliance DetailsBy

注意

有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。

将规则评估发送到 Security Hub

添加 Amazon Config 规则后,您还可以将规则评估发送到 Amazon Security Hub。与 Security Hub Amazon Config 之间的集成允许您对规则评估以及其他错误配置和安全问题进行分类和修复。

将规则评估发送到 Security Hub

要向 Security Hub 发送规则评估,必须先设置 Amazon Security Hub 和 Amazon Config,然后再添加至少一条 Amazon Config 托管或自定义规则。之后, Amazon Config 立即开始向 Security Hub 发送规则评估。Security Hub 可以丰富规则评估,并将其转化为 Security Hub 调查结果。

有关此集成的更多信息,请参阅《 Amazon Security Hub 用户指南》中的可用 Amazon 服务集成