AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AWS Config 托管规则

您可以通过 AWS 管理控制台、AWS CLI 或 AWS Config API 设置和激活 AWS 托管规则。

设置和激活 AWS 托管规则(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 在 AWS 管理控制台菜单上,验证区域选择器是否设置为支持 AWS Config 规则的区域。有关受支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Config 区域和终端节点

  3. 在左侧导航窗格中,选择 Rules

  4. Rules 页面,选择 Add rule

  5. Rules 页面上,可以执行以下操作:

    • 在搜索字段中键入,以便按规则名称、描述和标签筛选结果。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回定期触发的规则。

    • 选择箭头图标可查看下一页规则。最近添加的规则标记为 New

  6. 选择要创建的规则。

  7. Configure rule 页面,通过完成以下步骤来配置规则:

    1. 对于 Name,请输入一个唯一的规则名称。

    2. 如果您的规则的触发器类型包括 Configuration changes (配置更改),请针对 Scope of changes (更改范围) 指定以下选项之一,以便 AWS Config 按其调用您的 Lambda 函数:

      • Resources (资源) – 在创建、更改或删除与指定资源类型(或类型和标识符)匹配的资源时。

      • Tags (标签) – 在创建、更改或删除包含指定标签的资源时。

      • All changes (所有更改) – 在创建、更改或删除 AWS Config 记录的资源时。

    3. 如果您的规则的触发器类型包括 Periodic (定期),请指定 Frequency (频率),以便 AWS Config 按其调用您的 Lambda 函数。

    4. 如果您的规则的 Rule parameters 部分包含参数,则您可以自定义提供的键的值。参数是您的资源为符合规则而必须具备的属性。

  8. 选择 Save。您的新规则将显示在 Rules 页面中。

    在 AWS Config 具有规则的评估结果之前,Compliance (合规性) 将显示 Evaluating... (正在评估...)。关于结果的汇总将在几分钟后显示。您可以使用刷新按钮更新结果。

    如果规则或函数没有按预期运行,您可能会在 Compliance 中看到以下一项内容:

    • No results reported (未报告任何结果) - AWS Config 针对规则评估了您的资源。规则不适用于其范围内的 AWS 资源,指定的资源已删除,或者评估规则已删除。要获取评估结果,请更新规则、更改其范围或者选择 Re-evaluate

      如果规则不报告评估结果,该消息可能也会出现。

    • No resources in scope (范围中没有资源) - AWS Config 无法对照规则来评估您记录的 AWS 资源,因为您的任何资源都不在规则范围内。要获取评估结果,请编辑规则并更改其范围,或者使用 Settings (设置) 页面添加 AWS Config 要记录的资源。

    • Evaluations failed (评估失败) - 有关可帮助您确定问题的信息,请选择规则名称以打开其详细信息页面并查看错误消息。

激活 AWS 托管规则 (AWS CLI)

使用 put-config-rule 命令。

激活 AWS 托管规则 (API)

使用 PutConfigRule 操作。