使用规则修复不合规的资源 Amazon Config - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用规则修复不合规的资源 Amazon Config

Amazon Config 允许您修复由评估的不合规资源。 Amazon Config 规则 Amazon Config 使用Amazon Systems Manager 自动化文档应用补救。这些文档定义了要对由 Amazon Config 规则评估的不合规 Amazon 资源执行的操作。您可以使用 Amazon Web Services Management Console 或 API 来关联 SSM 文档。

Amazon Config 提供了一组包含补救操作的托管自动化文档。您还可以创建自定义自动化文档并将其与 Amazon Config 规则关联。

要对不合规的资源应用补救,您可以从预先填充的列表中选择要关联的修正操作,也可以使用 SSM 文档创建自己的自定义修复操作。 Amazon Config 中提供了建议的补救措施列表 Amazon Web Services Management Console。

在中 Amazon Web Services Management Console,您可以通过将修复操作与规则关联来选择手动自动修复不合规的资源。 Amazon Config 借助所有修正操作,您可以选择手动或自动修正。

先决条件

在开始对不合规资源应用修正之前,您必须选择一条规则并针对该规则设置修正(手动或自动)。

设置手动修正(控制台)

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 选择左侧的规则,然后在规则页面上,选择添加规则以向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。

  3. 操作下拉列表中,选择管理修正。选择“手动修正”,然后从建议列表中选择相应的修正操作。

    注意

    您只能管理非服务关联 Amazon Config 规则的修正。有关更多信息,请参阅服务相关的 Amazon 规则

    根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。

  4. (可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,可以为除所选资源 ID 参数之外的所有其他键输入值。

  5. 选择保存。此时将显示 Rules (规则) 页面。

注意

要对失败的修复操作进行故障排除,您可以运行 Amazon 命令行界面命令describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

设置自动修正(控制台)

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 选择左侧的规则,然后在规则页面上,选择添加规则以向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。

  3. 操作下拉列表中,选择管理修正。选择“自动修正”,然后从建议列表中选择相应的修正操作。

    注意

    您只能管理非服务关联 Amazon Config 规则的修正。有关更多信息,请参阅服务相关的 Amazon 规则

    根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。

  4. 选择 Auto remediation (自动修正) 以自动修正不合规的资源。

    如果资源在自动修复后仍然不合规,则可以将规则设置为再次尝试自动修复。输入所需的重试次数和秒数。

    注意

    多次运行修正脚本会有关联的成本。只有当修正失败,并且在指定时间段内有效时才会重试;例如,在 300 秒内重试 5 次。

  5. (可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,可以为除所选资源 ID 参数之外的所有其他键输入值。

  6. 选择保存。此时将显示 Rules (规则) 页面。

注意

要对失败的修复操作进行故障排除,您可以运行 Amazon 命令行界面命令describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

注意

即使是针对合规资源也可以启动自动修复

如果您使用 PutRemediationConfigurationsAPI 或 Amazon Config 控制台为特定 Amazon Config 规则启用自动修复,则会针对该特定规则的所有不合规资源启动修复流程。auto 修复过程依赖于定期捕获的合规性数据快照。对于在快照计划之间更新的任何不合规资源,都将继续根据上次已知的合规性数据快照进行修复。

这意味着,在某些情况下,即使是合规资源也可以启动自动修复,因为引导处理器使用的数据库可能基于上次已知的合规性数据快照得出陈旧的评估结果。

删除修正操作(控制台)

要删除规则,必须首先删除与该规则关联的修正操作。

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/

  2. 选择左侧的规则,然后在规则页面上,从规则列表中选择规则,再选择查看详细信息

  3. 规则名称页面上,转到修正操作部分。展开这部分以查看更多详细信息。

  4. 修正操作部分中,选择删除并确认您的删除操作。

    注意

    如果正在进行修正,修正操作不会被删除。如果选择删除修正操作,您将无法检索修正操作。删除修正操作不会删除关联的规则。

    如果删除了修正操作,则资源 ID 参数将为空并显示“不适用”。在规则页面上,修正操作列将显示未设置关联规则。

管理修正 (API)

手动修正

使用以下 Amazon Config API 操作来管理补救措施:

自动修正

使用以下 Amazon Config API 操作来管理自动修复:

区域支持

目前,以下区域支持 Amazon Config 规则的修正操作:

区域名称 区域 端点 协议
美国东部(俄亥俄州) us-east-2 config.us-east-2.amazonaws.com HTTPS
美国东部(弗吉尼亚州北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
美国西部(北加利福尼亚) us-west-1 config.us-west-1.amazonaws.com HTTPS
美国西部(俄勒冈州) us-west-2 config.us-west-2.amazonaws.com HTTPS
非洲(开普敦) af-south-1 config.af-south-1.amazonaws.com HTTPS
亚太地区(香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
亚太地区(海得拉巴) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
亚太地区(雅加达) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
亚太地区(墨尔本) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
亚太地区(孟买) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
亚太地区(大阪) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
亚太地区(首尔) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
亚太地区(新加坡) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
亚太地区(悉尼) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
亚太地区(东京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
加拿大(中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
加拿大西部(卡尔加里) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
中国(北京) cn-north-1 config.cn-north-1.amazonaws.com.cn HTTPS
中国(宁夏) cn-northwest-1 config.cn-northwest-1.amazonaws.com.cn HTTPS
欧洲地区(法兰克福) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧洲地区(爱尔兰) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧洲地区(伦敦) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧洲地区(米兰) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧洲地区(巴黎) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧洲(西班牙) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
欧洲地区(斯德哥尔摩) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
欧洲(苏黎世) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
以色列(特拉维夫) il-central-1 config.il-central-1.amazonaws.com HTTPS
中东(巴林) me-south-1 config.me-south-1.amazonaws.com HTTPS
中东(阿联酋) me-central-1 config.me-central-1.amazonaws.com HTTPS
南美洲(圣保罗) sa-east-1 config.sa-east-1.amazonaws.com HTTPS