本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon Config 规则开启主动评估
使用 Amazon Config 控制台或 Amazon SDK 开启主动评估规则。有关支持主动评估的资源类型和托管规则列表,请参阅规则的组成部分 | 评估模式。
开启主动评估(控制台)
规则页面在一个表中显示您的规则及其当前的合规性结果。在 根据规则完成对您的资源的评估前,每个规则的结果都显示为 Evaluating...Amazon Config。您可以使用刷新按钮更新结果。
当 Amazon Config 完成评估时,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 使用查看Amazon资源的合规信息和评估结果Amazon Config
注意
Amazon Config 仅评估它所记录的资源类型。例如,如果您添加 cloudtrail-enabled 规则,但未记录 CloudTrail 跟踪资源类型,Amazon Config 将无法评估您账户中的跟踪是否合规。有关更多信息,请参阅 使用 Amazon Config 记录 Amazon 资源
可以使用主动评估在资源部署之前对其进行评估。这使您可以根据您所在区域的账户中的主动规则集,评估一组资源属性(如果用于定义 Amazon 资源)是 COMPLIANT 还是 NON_COMPLIANT。
资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的“Amazon 公有扩展”中找到资源类型架构,也可以使用以下 CLI 命令找到:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的通过 Amazon CloudFormation 注册表管理扩展,以及 Amazon 资源和属性类型参考。
注意
主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。
开启主动评估
登录到,Amazon Web Services 管理控制台然后通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/home
。 -
在 Amazon Web Services 管理控制台菜单上,验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关支持的 Amazon 区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Config 区域和端点。
-
在左侧导航窗格中,选择 Rules。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。
-
选择规则,然后为要更新的规则选择编辑规则。
-
对于评估模式,选择开启主动评估,以允许您在部署资源之前对资源的配置设置进行评估。
-
选择保存。
开启主动评估后,您可以使用 StartResourceEvaluation API 和 GetResourceEvaluationSummary API 来检查您在这些命令中指定的资源是否会被您所在区域的账户中的主动规则标记为 NON_COMPLIANT。
例如,从 StartResourceEvaluation API 开始:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您应该会在输出中收到 ResourceEvaluationId:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然后,将 ResourceEvaluationId 与 GetResourceEvaluationSummary API 结合使用来检查评估结果:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
您应收到类似以下内容的输出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
要查看有关评估结果的更多信息,例如哪条规则将资源标记为 NON_COMPLIANT,请使用 GetComplianceDetailsByResource API。
开启主动评估(Amazon SDK)
可以使用主动评估在资源部署之前对其进行评估。这使您可以根据您所在区域的账户中的主动规则集,评估一组资源属性(如果用于定义 Amazon 资源)是 COMPLIANT 还是 NON_COMPLIANT。
资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的“Amazon 公有扩展”中找到资源类型架构,也可以使用以下 CLI 命令找到:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的通过 Amazon CloudFormation 注册表管理扩展,以及 Amazon 资源和属性类型参考。
注意
主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。
开启主动评估
使用 put-config-rule 命令并为 EvaluationModes 启用。PROACTIVE
开启主动评估后,您可以使用 start-resource-evaluation CLI 命令和 get-resource-evaluation-summary CLI 命令检查您在这些命令中指定的资源是否会被您所在区域的账户中的主动规则标记为 NON_COMPLIANT。
例如,先使用 start-resource-evaluation 命令:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您应该会在输出中收到 ResourceEvaluationId:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然后,将 ResourceEvaluationId 和 get-resource-evaluation-summary 结合使用来检查评估结果:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
您应收到类似以下内容的输出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
要查看有关评估结果的更多信息,例如哪条规则将资源标记为 NON_COMPLIANT,请使用 get-compliance-details-by-resource CLI 命令。
注意
有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。
可以使用主动评估在资源部署之前对其进行评估。这使您可以根据您所在区域的账户中的主动规则集,评估一组资源属性(如果用于定义 Amazon 资源)是 COMPLIANT 还是 NON_COMPLIANT。
资源类型架构说明了资源的属性。您可以在 Amazon CloudFormation 注册表的“Amazon 公有扩展”中找到资源类型架构,也可以使用以下 CLI 命令找到:
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --typeRESOURCE
有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的通过 Amazon CloudFormation 注册表管理扩展,以及 Amazon 资源和属性类型参考。
注意
主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。
为规则开启主动评估
使用 PutConfigRule 操作并为 EvaluationModes 启用。PROACTIVE
开启主动评估后,您可以使用 StartResourceEvaluation API 和 GetResourceEvaluationSummary API 来检查您在这些命令中指定的资源是否会被您所在区域的账户中的主动规则标记为 NON_COMPLIANT。例如,从 StartResourceEvaluation API 开始:
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE --resource-details '{"ResourceId":"MY_RESOURCE_ID", "ResourceType":"AWS::RESOURCE::TYPE", "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA", "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
您应该会在输出中收到 ResourceEvaluationId:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID" }
然后,将 ResourceEvaluationId 与 GetResourceEvaluationSummary API 结合使用来检查评估结果:
aws configservice get-resource-evaluation-summary --resource-evaluation-idMY_RESOURCE_EVALUATION_ID
您应收到类似以下内容的输出:
{ "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID", "EvaluationMode": "PROACTIVE", "EvaluationStatus": { "Status": "SUCCEEDED" }, "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00", "Compliance": "COMPLIANT", "ResourceDetails": { "ResourceId": "MY_RESOURCE_ID", "ResourceType": "AWS::RESOURCE::TYPE", "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA" } }
要查看有关评估结果的更多信息,例如哪条规则将资源标记为 NON_COMPLIANT,请使用 GetComplianceDetailsByResource API。
注意
有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表。