fms-security-group-audit-policy-check - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

fms-security-group-audit-policy-check

根据 allowSecurityGroupdenySecurityGroup 标记,检查安全组关联的 inScope 资源是否符合每个规则级别的主安全组。

注意

仅 AWS Firewall Manager 可以创建此规则。

标识符:FMS_SECURITY_GROUP_AUDIT_POLICY_CHECK

触发器类型: 配置更改

AWS 区域:所有支持的 AWS 区域(中国(北京)、中国 (宁夏)、AWS GovCloud(美国东部)、AWS GovCloud (US-West)、中东(巴林)、亚太地区(香港)、非洲(开普敦) 和 欧洲(米兰) 除外)

参数:

masterSecurityGroupsIds(必填)

以逗号分隔的主安全组 ID 列表。该规则将检查安全组关联的 inScope 资源是否符合每个规则级别的主安全组。

resourceTags(必填)

与规则关联的资源标签(例如,{ "tagKey1" : ["tagValue1"], "tagKey2" : ["tagValue2", "tagValue3"] }")。

inScope(必填)

如果为 true,AWS Config 则规则拥有者处于 Firewall Manager 安全组审计策略范围内。

excludeResourceTags(必填)

如果为 true,则排除与 resourceTags 匹配的资源。

resourceTypes(必填)

资源类型,例如 Amazon EC2 实例或此规则支持的弹性网络接口或安全组等。

fmsRemediationEnabled(必填)

如果为 true,则 AWS Firewall Manager 将根据 FMS 策略更新 NON_COMPLIANT 资源。当您创建此规则时,AWS Config 将忽略此参数。

allowSecurityGroup(必填)

如果为 true,则规则将检查并确保所有 inScope 安全组都在引用安全组的入站/出站规则中。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则,请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则