AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

按照 AWS Config 规则修正不合规 AWS 资源

AWS Config 允许您修正被 AWS Config Rules 评估为不合规的资源。AWS Config 使用 AWS Systems Manager 自动化文档应用修正。这些文档定义了对由 AWS Config Rules 评估的不合规 AWS 资源执行的操作。您可以使用 AWS 管理控制台 或使用 API 来关联 SSM 文档。

为对不合规资源应用修正,AWS Config 提供了一组具有修正操作的托管自动化文档。您也可以创建自定义自动化文档并将其与 AWS Config Rules 关联。

先决条件

在开始对不合规资源应用修正之前,您必须选择一条规则并针对该规则设置修正。您可以从控制台中的三个位置设置修正。以下过程提供了有关每个工作流程的更多详细信息。

设置修正(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 选择左侧的 Rules (规则),然后在 Rules (规则) 页面上选择 Add Rule (添加规则),然后向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规则,然后选择 Edit (编辑)

  3. Edit name of the rule (编辑 <规则名称>) 页面上,在 Choose remediation action (选择修正操作) 部分中,从推荐列表中选择相应的修正操作。

    根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。

  4. (可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,则可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,则可以为除所选资源 ID 参数之外的所有其他键输入值。

  5. 选择 Save。此时将显示 Rules (规则) 页面。

使用规则设置和应用修正操作(控制台)

您可以从左侧的 Rules (规则) 向不合规规则应用修正操作。

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 选择左侧的 Rules (规则),然后在 Rules (规则) 页面上选择 Add Rule (添加规则),然后向规则列表中添加新规则。

    对于现有规则,从规则列表中选择不合规规则,然后选择 Edit (编辑)

  3. 选择 Manage remediation (管理修正),然后在 Manage remediation: name of the rule (管理修正: <规则名称>) 页面上,从推荐列表中选择适当的修正操作。修正操作与 Amazon EC2 Systems Manager 自动化文档相关。

    根据所选的修正操作,您将看到特定参数或看不到任何参数。

  4. 如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,则可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,则可以为除所选资源 ID 参数之外的所有其他键输入值。

  5. 选择 Save

  6. Choose resources in scope (选择范围内的资源) 部分中,选择所有不合规资源。范围内的资源包括应用此规则的那些资源及其合规性状态。

    有关资源的更多信息,请选择 Resource actions (资源操作),并选择 View details (查看详细信息)Configuration timeline (配置时间表)Compliance timeline (合规性时间表)

  7. 选择 Remediate (修正)

    如果资源得到修正,则资源合规性状态是合规。要查看合规资源,请从合规性状态列表中选择 Compliant (合规)

    如果资源未得到修正,则操作状态列会显示 Action execution failed (details) (操作执行失败(详细信息))。选择 (details) (详细信息) 可查看在执行修正操作期间调用的主要操作步骤以及每个操作步骤的状态。

    注意

    要对失败的修正操作进行故障排除,您可以运行 AWS 命令行界面 (AWS CLI) 命令 describe-remediation-execution-status,获取资源集修正执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

使用资源设置和应用修正操作(控制台)

还可以从左侧的 Resources (资源) 向不合规规则应用修正操作。

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 选择左侧的 Resources (资源),然后在 Resource inventory (资源清单) 页面上将默认选择 Resources (资源)

  3. 从资源类型中选择一个或多个资源,然后选择 Look up (查找)

  4. 从资源表中选择相应的不合规资源的名称。

  5. Resource details: name of the resource (资源详细信息: <资源的名称>) 页面上,从相关范围的规则中选择一个或多个不合规规则。

  6. 选择 Rule actions (规则操作),然后选择 Manage remediation (管理修正)

  7. Manage remediation: (管理修正: 规则的名称) 页面上,选择相应的修正操作。

    根据所选的修正操作,您将看到特定参数或看不到任何参数。

  8. 如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。

    每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,则可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,则可以为除所选资源 ID 参数之外的所有其他键输入值。

  9. 选择 Save

  10. Choose resources in scope (选择范围内的资源) 部分中,选择所有不合规资源。范围内的资源包括应用此规则的那些资源及其合规性状态。

    有关资源的更多信息,请选择 Resource actions (资源操作),并选择 View details (查看详细信息)Configuration timeline (配置时间表)Compliance timeline (合规性时间表)

  11. 选择 Remediate (修正)

    如果资源得到修正,则资源合规性状态为 compliant (合规)。要查看合规资源,请从合规性状态列表中选择 Compliant (合规)

    如果资源未得到修正,则操作状态列会显示 Action execution failed (details) (操作执行失败(详细信息))。选择 (details) (详细信息) 可查看在执行修正操作期间调用的主要操作步骤以及每个操作步骤的状态。

    注意

    要对失败的修正操作进行故障排除,您可以运行 AWS 命令行界面 (AWS CLI) 命令 describe-remediation-execution-status,获取资源集修正执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。

删除修正操作(控制台)

要删除规则,必须首先删除与该规则关联的修正操作。

  1. 登录 AWS 管理控制台 并通过以下网址打开 AWS Config 控制台:https://console.amazonaws.cn/config/

  2. 选择左侧的 Rules (规则),然后在 Rules (规则) 页面上,从规则列表中选择规则,再选择 Edit (编辑)

  3. 在规则页面上,选择 Edit (编辑)

  4. Edit name of the rule (编辑 <规则名称>) 页面上,在 Choose remediation action (选择修正操作) 部分中,选择 Delete remediation action (删除修正操作),并确认删除操作。

    注意

    如果修正正在进行中,修正操作不会被删除。如果选择 Delete remediation action (删除修正操作),您将无法检索修正操作。当您删除修正操作时,AWS Config 不会删除规则。

    如果修正操作被删除,Resource ID parameter (资源 ID 参数) 将为空,并显示 N/A。在 Rules (规则) 页面上,修正操作列对相应的规则显示 Not set (未设置)

管理修正 (API)

使用以下 AWS Config API 操作来管理修正: