管理您的 Amazon Config 规则 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理您的 Amazon Config 规则

您可以使用 Amazon Config 控制台、Amazon CLI 和 Amazon Config API 来查看、添加和删除您的规则。

添加、查看、更新和删除规则(控制台)

这些区域有:Rule页面在表格中显示您的规则及其当前合规性结果。在 根据规则完成对您的资源的评估前,每个规则的结果都显示为 Evaluating...Amazon Config。您可以使用刷新按钮更新结果。当 Amazon Config 完成评估时,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 查看配置合规性

注意

Amazon Config 仅评估它所记录的资源类型。例如,如果您添加支持 cloudtrail规则但不要记录 CloudTrail 追踪资源类型,Amazon Config无法评估你账户中的追踪是合规还是不合规。有关更多信息,请参阅 选择 Amazon Config 所记录的资源

查看您的规则

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

  2. 在 Amazon Web Services Management Console中,验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关受支持的区域列表,请参阅Amazon Config区域和终端节点在里面Amazon Web Services 一般参考.

  3. 选择 Rules。这些区域有:Rule页面显示了您当前存在的所有规则Amazon Web Services 账户. 它列出了每条规则的名称、相关的补救措施和合规性状态。

    • 选择 Add rule 以开始创建规则。

    • 选择一条规则以查看其设置,或者选择一条规则然后查看详细信息.

    • 当规则评估资源时,请查看规则的合规性状态。

    • 选择一条规则,编辑规则更改规则的配置设置并为不合规规则设置修正操作。

更新规则

  1. 选择一条规则,编辑规则对于您希望更新的规则,单击此规则。

  2. 修改上的设置编辑规则页面可根据需要更改您的规则。

  3. 选择 Save(保存)。

删除一项规则

  1. 从表中选择要删除的规则。

  2. 操作下拉列表中,选择删除规则.

  3. 出现提示时,键入 “删除”(区分大小写),然后选择Delete.

添加一项规则

如果您选择 Add rule,可以在 Amazon ConfigAdd rule 页面上查看可用的 托管规则。您还可以看到以下内容的完整列表Amazon Config托管规则位于Amazon Config 托管规则的列表. 除此之外Amazon Config托管规则,您也可以使用 Guard 或Amazon Lambda函数。

  1. 要添加托管规则,请在该页面上选择一个规则,然后按照使用 Amazon Config 托管规则中的过程操作。

  2. 如果要创建自己的规则,请选择添加自定义规则并按照中过程操作创建Amazon Config自定义策略规则要么创建Amazon Config自定义 Lambda 规则.

Add rule 页面上,可以执行以下操作:

  • 选择 Add custom rule 以创建自己的规则。

  • 在搜索字段中键入,以便按规则名称、描述或标签筛选结果。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回具有定期触发器的规则。键入“new”可搜索新添加的规则。有关触发器类型的更多信息,请参阅为 Amazon Config 规则指定触发器

  • 通过选择旁边的箭头,按字母顺序对结果重新排序名称Label。

  • 选择箭头图标可查看下一页规则。

  • 查看最近添加的标记为的规则new.

  • 查看标签以确定规则评估的资源类型以及规则是否具有定期触发器。

查看、更新和删除规则 (Amazon CLI)

查看您的规则

  • 使用 describe-config-rules 命令:

    $ aws configservice describe-config-rules

    Amazon Config 将返回您的所有规则的详细信息。

更新规则

  1. 使用包含 --generate-cli-skeleton 参数的 put-config-rule 命令来创建包含您的规则参数的本地 JSON 文件:

    $ aws configservice put-config-rule --generate-cli-skeleton > putConfigRule.json
  2. 在文本编辑器中打开该 JSON 文件,然后删除不需要更新的所有参数,不过以下内容例外:

    • 至少包括以下参数之一以确定规则:

      ConfigRuleName, ConfigRuleArn, 或者 ConfigRuleId.

    • 如果您要更新自定义规则,则必须包含 Source 对象及其参数。

  3. 填写剩余参数的值。要引用规则的详细信息,请使用 describe-config-rules 命令。

    例如,以下 JSON 代码可以更新自定义规则范围内的资源类型:

    { "ConfigRule": { "ConfigRuleName": "ConfigRuleName", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] } } }
  4. 使用包含 --cli-input-json 参数的 put-config-rule 命令将您的 JSON 配置传递到 Amazon Config:

    $ aws configservice put-config-rule --cli-input-json file://putConfigRule.json
  5. 要验证您是否成功更新了规则,请使用 describe-config-rules 命令查看该规则的配置:

    $ aws configservice describe-config-rules --config-rule-name ConfigRuleName { "ConfigRules": [ { "ConfigRuleState": "ACTIVE", "ConfigRuleName": "ConfigRuleName", "ConfigRuleArn": "arn:aws:config:us-east-2:123456789012:config-rule/config-rule-nnnnnn", "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-2:123456789012:function:ConfigRuleName", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance", "AWS::EC2::Volume", "AWS::EC2::VPC" ] }, "ConfigRuleId": "config-rule-nnnnnn" } ] }

删除一项规则

  • 使用以下示例中所示的 delete-config-rule 命令:

    $ aws configservice delete-config-rule --config-rule-name ConfigRuleName

查看、更新和删除规则 (API)

查看您的规则

使用 DescribeConfigRules 操作。

更新或添加规则

使用 PutConfigRule 操作。

删除规则

使用 DeleteConfigRule 操作。

注意

如果一个规则创建无效的评估结果,您可能希望在修复该规则并运行新评估之前删除这些结果。有关更多信息,请参阅 删除评估结果

将规则评估发送到Security Hub

添加后Amazon Config规则,您也可以将规则评估发送到Amazon Security Hub. 两者之间的集成Amazon Config而且 Security Hub 允许您对规则评估以及其他配置错误和安全问题进行分类和修复。

将规则评估发送到Security Hub

要向 Security Hub 发送规则评估,您必须先设置Amazon Security Hub和Amazon Config,然后至少添加一个Amazon Config托管或自定义规则。在此后,Amazon Config立即开始向 Security Hub 发送规则评估。Security Hub 丰富了规则评估并将其转换为Security Hub 调查结果。

有关此集成的更多信息,请参阅AvailableAmazon服务集成在里面Amazon Security Hub用户指南。