本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用规则修复不合规的资源 Amazon Config
Amazon Config 允许您修复由评估的不合规资源。 Amazon Config 规则 Amazon Config 使用Amazon Systems Manager 自动化文档应用补救。这些文档定义了要对由 Amazon Config 规则评估的不合规 Amazon 资源执行的操作。您可以使用 Amazon Web Services Management Console 或 API 来关联 SSM 文档。
Amazon Config 提供了一组包含补救操作的托管自动化文档。您还可以创建自定义自动化文档并将其与 Amazon Config 规则关联。
要对不合规的资源应用补救,您可以从预先填充的列表中选择要关联的修正操作,也可以使用 SSM 文档创建自己的自定义修复操作。 Amazon Config 中提供了建议的补救措施列表 Amazon Web Services Management Console。
在中 Amazon Web Services Management Console,您可以通过将修复操作与规则关联来选择手动或自动修复不合规的资源。 Amazon Config 借助所有修正操作,您可以选择手动或自动修正。
先决条件
在开始对不合规资源应用修正之前,您必须选择一条规则并针对该规则设置修正(手动或自动)。
设置手动修正(控制台)
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
选择左侧的规则,然后在规则页面上,选择添加规则以向规则列表中添加新规则。
对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。
-
从操作下拉列表中,选择管理修正。选择“手动修正”,然后从建议列表中选择相应的修正操作。
注意
您只能管理非服务关联 Amazon Config 规则的修正。有关更多信息,请参阅服务相关的 Amazon 规则。
根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。
-
(可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。
每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,可以为除所选资源 ID 参数之外的所有其他键输入值。
-
选择保存。此时将显示 Rules (规则) 页面。
要对失败的修复操作进行故障排除,您可以运行 Amazon 命令行界面命令describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。
设置自动修正(控制台)
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
选择左侧的规则,然后在规则页面上,选择添加规则以向规则列表中添加新规则。
对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。
-
从操作下拉列表中,选择管理修正。选择“自动修正”,然后从建议列表中选择相应的修正操作。
注意
您只能管理非服务关联 Amazon Config 规则的修正。有关更多信息,请参阅服务相关的 Amazon 规则。
根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。
-
选择 Auto remediation (自动修正) 以自动修正不合规的资源。
如果资源在自动修复后仍然不合规,则可以将规则设置为再次尝试自动修复。输入所需的重试次数和秒数。
注意
多次运行修正脚本会有关联的成本。只有当修正失败,并且在指定时间段内有效时才会重试;例如,在 300 秒内重试 5 次。
-
(可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。
每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,可以为除所选资源 ID 参数之外的所有其他键输入值。
-
选择保存。此时将显示 Rules (规则) 页面。
用于故障排除失败的补救措施
要对失败的修复操作进行故障排除,您可以运行 Amazon 命令行界面命令describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。
即使是合规资源也可以启动自动修复
如果您使用PutRemediation配置 API 或 Amazon Config 控制台为特定 Amazon Config 规则启用自动修复,则它会启动针对该特定规则的所有不合规资源的修复过程。auto 修复过程依赖于定期捕获的合规性数据快照。对于在快照计划之间更新的任何不合规资源,都将继续根据上次已知的合规性数据快照进行修复。
这意味着,在某些情况下,即使是合规资源也可以启动自动修复,因为引导处理器使用的数据库可能基于上次已知的合规性数据快照得出陈旧的评估结果。
删除修正操作(控制台)
要删除规则,必须首先删除与该规则关联的修正操作。
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
选择左侧的规则,然后在规则页面上,从规则列表中选择规则,再选择查看详细信息。
-
在
规则名称页面上,转到修正操作部分。展开这部分以查看更多详细信息。 -
在修正操作部分中,选择删除并确认您的删除操作。
注意
如果正在进行修正,修正操作不会被删除。如果选择删除修正操作,您将无法检索修正操作。删除修正操作不会删除关联的规则。
如果删除了修正操作,则资源 ID 参数将为空并显示“不适用”。在规则页面上,修正操作列将显示未设置关联规则。
管理修正 (API)
手动修正
使用以下 Amazon Config API 操作来管理补救措施:
-
DeleteRemediation配置,删除修正配置。
-
DescribeRemediation配置,返回一个或多个修复配置的详细信息。
-
DescribeRemediationExecutionStatus,提供了一组资源的修正执行的详细视图,包括状态、执行修正步骤的时间戳以及失败步骤的任何错误消息。
-
PutRemediation使用具有所选目标或操作的特定 Amazon Config 规则@@ 配置、添加或更新修复配置。
-
StartRemediation执行,根据上次已知的修正配置对指定 Amazon Config 规则运行按需修复。
自动修正
使用以下 Amazon Config API 操作来管理自动修复:
-
PutRemediation异常、添加新异常或使用特定规则更新特定资源的现有异常。 Amazon Config
-
DescribeRemediation异常,返回一个或多个修正异常的详细信息。
-
DeleteRemediation异常,删除资源密钥中提及的一个或多个修正异常。
区域支持
目前,以下区域支持 Amazon Config 规则的修正操作:
| 区域名称 | 区域 | 端点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美国西部(加利福尼亚北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美国西部(俄勒冈州) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲(开普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亚太地区(香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亚太地区(海得拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亚太地区(雅加达) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亚太地区(墨尔本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亚太地区(孟买) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亚太地区(大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亚太地区(首尔) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亚太地区(东京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大(中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部(卡尔加里) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 中国(北京) | cn-north-1 | config.cn-north-1.amazonaws.com.cn | HTTPS |
| 中国(宁夏) | cn-northwest-1 | config.cn-northwest-1.amazonaws.com.cn | HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧洲地区(伦敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 欧洲地区(米兰) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧洲地区(巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧洲(西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧洲(苏黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列(特拉维夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中东(巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中东(阿联酋) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲(圣保罗) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |