Amazon Config 托管规则 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 托管规则

Amazon Config 提供了 Amazon 托管规则(可自定义的预定义规则),Amazon Config 使用这些规则来评估您的 Amazon 资源是否符合常见的最佳实践。例如,您可以使用一个托管规则来快速开始评估特定标签是否已应用于您的资源。Amazon Config 控制台可以引导您完成托管规则的配置和激活过程。您还可以使用 Amazon Command Line Interface 或 Amazon Config API 来传递用于定义托管规则配置的 JSON 代码。

您可以自定义托管规则的行为以满足您的需求。例如,您可以定义规则的范围以便限定触发规则评估的资源,例如 EC2 实例或卷。您可以自定义规则的参数,以便定义您的资源为符合规则而必须具备的属性。例如,您可以自定义一个参数,以指定您的安全组应阻止传输到特定端口号的传入流量。

注意

在评估 Amazon Simple Storage Service (Amazon S3) 资源时,Amazon Config 托管规则仅支持通用存储桶。Amazon Config 不记录目录存储桶的配置更改。有关通用存储桶和目录存储桶的更多信息,请参阅 Amazon S3 用户指南中的存储桶概述目录存储桶

触发器类型

将规则添加到账户后,Amazon Config 会将您的资源与规则的条件进行比较。完成这一初始评估后,Amazon Config 会在每次触发评估时继续执行评估。规则中会定义评估触发器,可以包括以下类型:

配置更改

当存在与规则范围匹配的资源,并且资源配置发生变化时,Amazon Config 会对规则进行评估。在 Amazon Config 发送配置项更改通知后,评估便会运行。

通过定义规则的范围来选择哪些资源启动评估。范围可以包括:

  • 一个或多个资源类型

  • 资源类型和资源 ID 的组合

  • 标签键和值的组合

  • 当创建、更新或删除任何记录的资源时

Amazon Config 在检测到与规则的范围匹配的资源发生更改时运行评估。您可以使用范围来定义哪些资源启动评估。

定期

Amazon Config 会按照您选择的频率运行规则评估(例如,每 24 小时)。

混合

有些规则既有配置更改也有定期触发器。对于这些规则,Amazon Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。

评估模式

Amazon Config 规则有两种评估模式:

主动

使用主动评估在资源部署之前对其进行评估。这使您可以根据您所在区域的账户中的主动规则集,评估一组资源属性(如果用于定义 Amazon 资源)是 COMPLIANT 还是 NON_COMPLIANT。

有关更多信息,请参阅评估模式。有关支持主动评估的托管规则列表,请参阅按评估模式列出的 Amazon Config 托管规则列表

注意

主动规则不会修复标记为 NON_COMPLIANT 的资源,也不会阻止部署这些资源。

侦查

使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。