修正不合规Amazon资源依据Amazon ConfigRule - Amazon Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修正不合规Amazon资源依据Amazon ConfigRule

Amazon Config 允许您修正被 Amazon Config Rules 评估为不合规的资源。Amazon Config 使用 Amazon Web Services Systems Manager 自动化文档应用修正。这些文档定义了对不合规执行的操作Amazon评估的资源Amazon Config Rules。您可以使用 Amazon Web Services Management Console或 API 来关联 SSM 文档。

Amazon Config 提供了一组具有修正操作的托管自动化文档。您也可以创建自定义自动化文档并将其与 Amazon Config 规则关联。

要将修正应用于不合规的资源,您可以从预先填充的列表中选择要关联的修正操作,也可以使用 SSM 文档创建自己的自定义修正操作。Amazon Config 在 Amazon Web Services Management Console 中提供了建议的修正操作清单。

在Amazon Web Services Management Console,您可以选择手动或者自动通过将修正操作与Amazon Config规则。借助所有修正操作,您可以选择手动或自动修正。

Prerequisite

在开始对不合规资源应用修正之前,您必须选择一条规则并针对该规则设置修正(手动或自动)。

设置手动修正(控制台)

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Config控制台位于https://console.aws.amazon.com/config/

  2. 选择左侧的 Rules (规则),然后在 Rules (规则) 页面上选择 Add Rule (添加规则),然后向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规规规,然后选择操作下拉列表。

  3. 操作下拉列表中,选择管理修正。选择 “手动修正”,然后从推荐列表中选择相应的修正操作。

    根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。

  4. (可选):如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,则可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,则可以为除所选资源 ID 参数之外的所有其他键输入值。

  5. 选择 Save。此时将显示 Rules (规则) 页面。

注意

要对失败的修正操作进行故障排除,您可以运行 AWS 命令行界面 (AWS CLI) 命令 describe-remediation-execution-status,获取资源集修正执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

设置自动修正(控制台)

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Config控制台位于https://console.aws.amazon.com/config/

  2. 选择左侧的 Rules (规则),然后在 Rules (规则) 页面上选择 Add Rule (添加规则),然后向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规规规,然后选择操作下拉列表。

  3. 操作下拉列表中,选择管理修正。选择 “自动修正”,然后从推荐列表中选择相应的修正操作。

    根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。

  4. 选择 Auto remediation (自动修正) 以自动修正不合规的资源。

    如果在自动修正后资源仍然不合规,则可以设置规则以再次尝试自动修正。输入所需的重试次数和秒数。

    注意

    多次运行修正脚本会有关联的成本。

  5. (可选):如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,则可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,则可以为除所选资源 ID 参数之外的所有其他键输入值。

  6. 选择 Save。此时将显示 Rules (规则) 页面。

注意

要对失败的修正操作进行故障排除,您可以运行 AWS 命令行界面 (AWS CLI) 命令 describe-remediation-execution-status,获取资源集修正执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

删除修正操作(控制台)

要删除规则,必须首先删除与该规则关联的修正操作。

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Config控制台位于https://console.aws.amazon.com/config/

  2. 选择Rule,然后在Rule页面上,从规则列表中选择规则,然后选择查看详细信息

  3. 在存储库的规则的名称页面上,转至修正操作部分。展开部分以查看其他详细信息。

  4. 修正操作部分中,选择Delete并确认您的删除操作。

    注意

    如果修正在进行中,修正操作不会被删除。一旦选择 Delete remediation action (删除修正操作),您将无法检索修正操作。删除修正操作不会删除相关的规则。

    如果删除了修正操作,资源 ID 参数将为空并显示 N/A。Rule页面上,修正操作列将显示未设置作为关联规则。

管理修正 (API)

手动修正

使用以下 Amazon Config API 操作来管理修正:

自动修正

使用以下 Amazon Config API 操作来管理自动修正: