本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置自动修复
要对不合规的资源应用补救,您可以从预先填充的列表中选择要关联的修正操作,也可以使用 SSM 文档创建自己的自定义修复操作。 Amazon Config 中提供了建议的补救措施列表 Amazon Web Services Management Console。
- Setting Up Auto Remediation (Console)
-
在中 Amazon Web Services Management Console,您可以选择通过将修复操作与规则关联来自动修复不合规的资源。 Amazon Config 借助所有修正操作,您可以选择手动或自动修正。
登录 Amazon Web Services Management Console 并打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
选择左侧的规则,然后在规则页面上,选择添加规则以向规则列表中添加新规则。
对于现有规则,从规则列表中选择不合规规则,然后选择操作下拉列表。
-
从操作下拉列表中,选择管理修正。选择“自动修正”,然后从建议列表中选择相应的修正操作。
注意
您只能管理非服务关联 Amazon Config 规则的修正。有关更多信息,请参阅服务相关的 Amazon 规则。
根据所选的修正操作,您将会看到特定参数,或者看不到任何参数。
-
选择 Auto remediation (自动修正) 以自动修正不合规的资源。
如果资源在自动修复后仍然不合规,则可以将规则设置为再次尝试自动修复。输入所需的重试次数和秒数。
注意
多次运行修正脚本会有关联的成本。只有当修正失败,并且在指定时间段内有效时才会重试;例如,在 300 秒内重试 5 次。
-
(可选)如果要将不合规资源的资源 ID 传递给修正操作,请选择 Resource ID parameter (资源 ID 参数)。如果选中,则在运行时会将该参数替换为要修正的资源的 ID。
每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数,可以为每个键输入值。如果从下拉列表中选择资源 ID 参数,可以为除所选资源 ID 参数之外的所有其他键输入值。
-
选择保存。此时将显示 Rules (规则) 页面。
用于故障排除失败的补救措施
要对失败的修复操作进行故障排除,您可以运行 Amazon 命令行界面命令
describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳,以及失败步骤的任何错误消息。即使是合规资源也可以启动自动修复
如果您使用 PutRemediationConfigurationsAPI 或 Amazon Config 控制台为特定 Amazon Config 规则启用自动修复,则会针对该特定规则的所有不合规资源启动修复流程。auto 修复过程依赖于定期捕获的合规性数据快照。对于在快照计划之间更新的任何不合规资源,都将继续根据上次已知的合规性数据快照进行修复。
这意味着,在某些情况下,即使是合规资源也可以启动自动修复,因为引导处理器使用的数据库可能基于上次已知的合规性数据快照得出陈旧的评估结果。
- Setting Up Auto Remediation (API)
-
使用以下 Amazon Config API 操作来设置自动修复:
-
PutRemediationExceptions,使用特定规则为特定资源添加新的异常或更新现有异常。 Amazon Config
-
DescribeRemediationExceptions,返回一个或多个修正异常的详细信息。
-