使用 AWS Config 托管规则 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Config 托管规则

您可以从 AWS 管理控制台、AWS CLI 或 AWS Config API 设置和激活 AWS 托管规则。

设置和激活 AWS 托管规则(控制台)

  1. 登录到 AWS 管理控制台,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/

  2. 在 AWS 管理控制台菜单上,验证区域选择器是否设置为支持 AWS Config 规则的区域。有关支持区域的列表,请参阅AWS Config 区域和终端节点中的Amazon Web Services 一般参考

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. Rules 页面上,可以执行以下操作:

    • 在搜索字段中键入,以便按规则名称、描述和标签筛选结果。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回定期触发的规则。

    • 选择箭头图标可查看下一页规则。最近添加的规则标记为 New

  6. 选择要创建的规则。

  7. Configure rule 页面,通过完成以下步骤来配置规则:

    1. 对于 Name,请输入一个唯一的规则名称。

    2. 如果规则的触发器类型包括配置更改,指定下列选项之一B. 变更范围AWS Config 调用您的 Lambda 函数:

      • 资源— 在创建、更改或删除与指定资源类型(或类型和标识符)匹配的资源时。

      • Tags— 在创建、更改或删除包含指定标签的资源时。

      • 所有更改— 当 AWS Config 记录的资源被创建、更改或删除时。

    3. 如果规则的触发器类型包括定期,指定频率与 AWS Config 调用您的 Lambda 函数。

    4. 如果您的规则的 Rule parameters 部分包含参数,则您可以自定义提供的键的值。参数是您的资源为符合规则而必须具备的属性。

  8. 选择 Save。您的新规则将显示在 Rules 页面中。

    合规性将显示正在评估...直到 AWS Config 为您的规则提供评估结果为止。关于结果的汇总将在几分钟后显示。您可以使用刷新按钮更新结果。

    如果规则或函数没有按预期运行,您可能会在 Compliance 中看到以下一项内容:

    • 未报告任何结果AWS Config 根据规则评估了您的资源。该规则不适用于其范围内的 AWS 资源,指定的资源已删除,或者评估结果已删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • 范围内没有资源-AWS Config 无法对照规则来评估您记录的 AWS 资源,因为您的任何资源都不在规则范围内。要获取评估结果,请编辑规则并更改其范围,或者通过使用设置页.

    • Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。

激活 AWS 托管规则 (AWS CLI)

使用 put-config-rule 命令。

激活 AWS 托管规则 (API)

使用PutConfigRuleaction.