Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Config Regeln hinzufügen
<a name="evaluate-config_add-rules"></a>

Sie können die AWS Config Konsole oder die verwenden AWS SDKs , um Regeln hinzuzufügen.

**Topics**
+ [Verwenden der Konsole](#evaluate-config_add-rules-console)
+ [Mit dem AWS SDKs](#evaluate-config_add-rules-cli)

## Regeln hinzufügen (Konsole)
<a name="evaluate-config_add-rules-console"></a>

Auf der Seite **Regeln** werden Ihre Regeln und deren aktuelle Compliance-Ergebnisse in einer Tabelle dargestellt. Das Ergebnis für jede Regel lautet **Evaluierung...** bis die Bewertung Ihrer Ressourcen anhand der Regel AWS Config abgeschlossen ist. Sie können die Ergebnisse über die Aktualisieren-Schaltfläche aktualisieren. Wenn die AWS Config Evaluierungen abgeschlossen sind, können Sie sehen, welche Regeln und Ressourcentypen den Anforderungen entsprechen oder nicht. Weitere Informationen finden Sie unter [Compliance-Informationen und Bewertungsergebnisse für Ihre AWS Ressourcen anzeigen mit AWS Config](evaluate-config_view-compliance.md).

**Anmerkung**  
Wenn Sie eine neue Regel hinzufügen, werden die entsprechenden Ressourcen in Ihrem Ressourceninventar AWS Config bewertet, einschließlich der zuvor erfassten Ressourcen. Wenn Sie beispielsweise `AWS::IoT::Policy` Ressourcen aufgezeichnet, sie aber später von der Aufzeichnung ausgeschlossen haben, werden die ursprünglichen Konfigurationselemente (CIs) in Ihrem Inventar AWS Config beibehalten. Diese werden zwar nicht AWS Config mehr aktualisiert, CIs wenn die ihnen zugewiesenen Ressourcentypen von der Aufzeichnung ausgeschlossen werden, ihr zuletzt aufgezeichneter Status wird jedoch beibehalten und sie ausgewertet, wenn Sie entsprechende Regeln hinzufügen.  
AWS Config bewertet keine Ressourcen, die nicht im Ressourceninventar enthalten sind. Wenn Sie beispielsweise die [amplify-branch-tagged](amplify-branch-tagged.md) Regel hinzufügen, aber keine `AWS::Amplify::Branch` Ressourcen aufzeichnen und auch nie erfasst haben, AWS Config kann nicht bewertet werden, ob die AWS Amplify Filialen in Ihrem Konto den Vorschriften entsprechen oder nicht.  
Weitere Informationen finden Sie unter [AWS Ressourcen aufzeichnen mit AWS ConfigÜberlegungen](select-resources.md).

### Hinzufügen von Regeln
<a name="add-rules-console"></a>

**So fügen Sie eine Regel hinzu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Config Konsole zu [https://console.aws.amazon.com/config/Hause](https://console.aws.amazon.com/config/home).

1. Vergewissern Sie sich im AWS-Managementkonsole Menü, dass die Regionsauswahl auf eine Region eingestellt ist, die AWS Config Regeln unterstützt. Die Liste der unterstützten Regionen finden Sie unter [AWS Config -Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/awsconfig.html) im *Allgemeine Amazon Web Services-Referenz*. 

1. Klicken Sie im linken Navigationsbereich auf die Option **Regeln**. 

1. Wählen Sie auf der Seite **Rules (Regeln)** die Option **Add Rule (Regel hinzufügen)** aus. 

1. Geben Sie auf der Seite **Regeltyp angeben** den Regeltyp an, indem Sie die folgenden Schritte ausführen:

   1. Geben Sie einen Begriff in das Suchfeld ein, um die Liste der verwalteten Regeln nach Regelname, Beschreibung und Bezeichnung zu filtern. Geben Sie beispielsweise **EC2** ein, damit Regeln zurückgegeben werden, die EC2-Ressourcentypen bewerten, oder geben Sie **periodic** ein, damit Regeln zurückgegeben werden, die in regelmäßigen Abständen ausgelöst werden.

   1. Zudem können Sie Ihre eigene benutzerdefinierte Regel erstellen. Wählen Sie **Benutzerdefinierte Regel mithilfe von Lambda** **erstellen oder Benutzerdefinierte Regel mithilfe von Guard** erstellen und folgen Sie den Anweisungen unter [AWS Config Benutzerdefinierte Lambda-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) [erstellen oder AWS Config Benutzerdefinierte Richtlinienregeln erstellen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html). 

1. Auf der Seite **Regel konfigurieren** konfigurieren Sie die Regel, indem Sie die folgenden Schritte ausführen:

   1. Geben Sie unter **Name** einen eindeutigen Namen für die Regel ein.

   1. Geben Sie unter **Beschreibung** eine Beschreibung für die Regel ein.

   1. Wählen Sie für **den Testmodus** aus, wann Sie im Prozess der Ressourcenerstellung und -verwaltung Ihre Ressourcen bewerten AWS Config möchten. Je nach Regel AWS Config können Sie Ihre Ressourcenkonfigurationen auswerten, bevor eine Ressource bereitgestellt wurde, nachdem eine Ressource bereitgestellt wurde oder beides.

      1. Wählen Sie **Proaktive Auswertung einschalten** aus, damit Auswertungen der Konfigurationseinstellungen Ihrer Ressourcen ausgeführt werden können, bevor diese bereitgestellt werden.

         Nachdem Sie die proaktive Evaluierung aktiviert haben, können Sie mithilfe der [StartResourceEvaluation](https://docs.aws.amazon.com/config/latest/APIReference/API_StartResourceEvaluation.html)API und [GetResourceEvaluationSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceEvaluationSummary.html)der API überprüfen, ob die Ressourcen, die Sie in diesen Befehlen angeben, durch die proaktiven Regeln in Ihrem Konto in Ihrer Region als NON\$1COMPLIANT gekennzeichnet werden.

          Weitere Informationen zur Verwendung dieser Befehle finden Sie unter [Evaluieren Ihrer Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html#evaluating-your-resources-proactive) mithilfe von Regeln. AWS Config Eine Liste der verwalteten Regeln, die die proaktive Evaluierung unterstützen, finden Sie unter [Liste der AWS Config verwalteten Regeln nach Testmodus](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html).

      1. Wählen Sie **Detektivische Auswertung einschalten** aus, um die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auszuwerten.

         Für die detektivische Auswertung gibt es zwei Arten von Auslösern: **Wenn sich die Konfiguration ändert** und **Regelmäßig**.

         1.  Wenn die Triggertypen für Ihre Regel **Konfigurationsänderungen** beinhalten, geben Sie eine der folgenden Optionen für **Umfang der Änderungen** an, mit denen Ihre Lambda-Funktion AWS Config aufgerufen wird:
            +  **Ressourcen**: Wenn eine Ressource, die dem angegebenen Ressourcentyp oder dem Typ und dem Bezeichner entspricht, erstellt, geändert oder gelöscht wird
            +  **Tags**: Wenn eine Ressource mit einem bestimmten angegebenen Tag erstellt, geändert oder gelöscht wird
            +  **Alle Änderungen** — Wenn eine von aufgezeichnete Ressource erstellt, geändert oder gelöscht AWS Config wird.

            AWS Config führt die Auswertung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen.

         1. Wenn die Triggertypen für Ihre Regel **Periodisch** beinhalten, geben Sie die **Frequenz** an, mit der Ihre Lambda-Funktion AWS Config aufgerufen wird.

   1. Unter **Parameter** können Sie die Werte für die bereitgestellten Schlüssel anpassen, falls Ihre Regel Parameter enthält. Ein Parameter ist ein Attribut, über das Ihre Ressourcen verfügen müssen, damit sie als regelkonform gelten.

1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** alle Ihre Auswahlen, bevor Sie die Regel zu Ihrer hinzufügen. AWS-Konto Wenn die Regel oder Funktion nicht wie erwartet funktioniert, wird eine der folgenden Meldungen bei **Compliance** angezeigt: 
   +  **Keine Ergebnisse gemeldet** — Ihre Ressourcen wurden anhand der Regel AWS Config bewertet. Die Regel galt nicht für die AWS Ressourcen in ihrem Geltungsbereich, die angegebenen Ressourcen wurden gelöscht oder die Bewertungsergebnisse wurden gelöscht. Wenn Sie die Auswertungsergebnisse abrufen möchten, aktualisieren Sie die Regel, ändern Sie Ihren Umfang oder wählen Sie **Re-evaluate (Erneut bewerten)** aus. 

     Diese Meldung wird ggf. auch dann angezeigt, wenn die Regel keine Auswertungsergebnisse gemeldet hat.
   +  **Keine Ressourcen im Gültigkeitsbereich** — Ihre aufgezeichneten AWS Ressourcen AWS Config können nicht anhand dieser Regel bewertet werden, da sich keine Ihrer Ressourcen innerhalb des Gültigkeitsbereichs der Regel befindet. Um Bewertungsergebnisse zu erhalten, bearbeiten Sie die Regel und ändern Sie ihren Geltungsbereich, oder fügen Sie mithilfe der **Einstellungsseite** Ressourcen für AWS Config die Aufzeichnung hinzu.
   +  **Evaluations failed (Auswertungen fehlgeschlagen)** – Weitere Informationen, mit denen Sie das Problem bestimmen können, finden Sie, indem Sie den Regelnamen auswählen und die Detailseite öffnen, um die Fehlermeldung anzuzeigen.

## Regeln hinzufügen (AWS SDKs)
<a name="evaluate-config_add-rules-cli"></a>

### Hinzufügen von Regeln
<a name="add-rules-cli"></a>

Die folgenden Code-Beispiele zeigen, wie `PutConfigRule` verwendet wird.

------
#### [ CLI ]

**AWS CLI**  
**So fügen Sie eine AWS verwaltete Konfigurationsregel hinzu**  
Der folgende Befehl stellt JSON-Code zum Hinzufügen einer AWS verwalteten Config-Regel bereit:  

```
aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json
```
`RequiredTagsForEC2Instances.json` ist eine JSON-Datei, die die Regelkonfiguration enthält:  

```
{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}
```
Für das `ComplianceResourceTypes` Attribut beschränkt dieser JSON-Code den Bereich auf Ressourcen des `AWS::EC2::Instance` Typs, sodass AWS Config nur EC2-Instances anhand der Regel auswertet. Da es sich bei der Regel um eine verwaltete Regel handelt, ist das `Owner`-Attribut auf `AWS` und das `SourceIdentifier`-Attribut auf den Regelbezeichner `REQUIRED_TAGS` festgelegt. Für das `InputParameters`-Attribut werden die Tag-Schlüssel, `Owner` und `CostCenter`, die die Regel benötigt, angegeben.  
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.  
**So fügen Sie eine vom Kunden verwaltete Konfigurationsregel hinzu**  
Der folgende Befehl stellt JSON-Code zum Hinzufügen einer vom Kunden verwalteten Konfigurationsregel bereit:  

```
aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json
```
`InstanceTypesAreT2micro.json` ist eine JSON-Datei, die die Regelkonfiguration enthält:  

```
{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}
```
Für das `ComplianceResourceTypes` Attribut beschränkt dieser JSON-Code den Bereich auf Ressourcen des `AWS::EC2::Instance` Typs, sodass AWS Config nur EC2-Instances anhand der Regel auswertet. Da es sich bei dieser Regel um eine vom Kunden verwaltete Regel handelt`CUSTOM_LAMBDA`, ist das `Owner` Attribut auf und das `SourceIdentifier` Attribut auf den ARN der AWS Lambda-Funktion gesetzt. Das `SourceDetails`-Objekt ist erforderlich. Die für das `InputParameters` Attribut angegebenen Parameter werden an die AWS Lambda-Funktion übergeben, wenn AWS Config sie aufruft, um Ressourcen anhand der Regel auszuwerten.  
Wenn der Befehl erfolgreich ist, gibt AWS Config keine Ausgabe zurück. Um die Regelkonfiguration zu überprüfen, führen Sie den describe-config-rules Befehl aus und geben Sie den Regelnamen an.  
+  Einzelheiten zur API finden Sie [PutConfigRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/put-config-rule.html)unter *AWS CLI Befehlsreferenz*. 

------
#### [ Python ]

**SDK für Python (Boto3)**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/config#code-examples) einrichten und ausführen. 

```
class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise
```
+  Einzelheiten zur API finden Sie [PutConfigRule](https://docs.aws.amazon.com/goto/boto3/config-2014-11-12/PutConfigRule)in *AWS SDK for Python (Boto3) API* Reference. 

------
#### [ SAP ABAP ]

**SDK für SAP ABAP**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/cfs#code-examples) einrichten und ausführen. 

```
    " Create a config rule for S3 bucket public read prohibition
    lo_cfs->putconfigrule(
      io_configrule = NEW /aws1/cl_cfsconfigrule(
        iv_configrulename = iv_rule_name
        iv_description = |S3 Public Read Prohibited Bucket Rule|
        io_scope = NEW /aws1/cl_cfsscope(
          it_complianceresourcetypes = VALUE /aws1/cl_cfscplncresrctypes_w=>tt_complianceresourcetypes(
            ( NEW /aws1/cl_cfscplncresrctypes_w( |AWS::S3::Bucket| ) )
          )
        )
        io_source = NEW /aws1/cl_cfssource(
          iv_owner = |AWS|
          iv_sourceidentifier = |S3_BUCKET_PUBLIC_READ_PROHIBITED|
        )
        iv_inputparameters = '{}'
        iv_configrulestate = |ACTIVE|
      )
    ).
    MESSAGE 'Created AWS Config rule.' TYPE 'I'.
```
+  Einzelheiten zur API finden Sie [PutConfigRule](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)in der *API-Referenz zum AWS SDK für SAP ABAP*. 

------