Kostenüberlegungen Auslösertypen Evaluierungsmodi

AWS Config Verwaltete Regeln

AWS Config stellt AWS verwaltete Regeln bereit. Dabei handelt es sich um vordefinierte, anpassbare Regeln, AWS Config anhand derer bewertet wird, ob Ihre AWS Ressourcen den gängigen bewährten Methoden entsprechen. Mithilfe einer verwalteten Regel können Sie beispielsweise schnell ermitteln, ob Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes verschlüsselt sind oder ob spezifische Tags auf Ihre Ressourcen angewendet werden. Die AWS Config Konsole führt Sie durch den Prozess der Konfiguration und Aktivierung einer verwalteten Regel. Sie können auch die AWS Config API AWS Command Line Interface oder verwenden, um den JSON-Code zu übergeben, der Ihre Konfiguration einer verwalteten Regel definiert.

Sie können das Verhalten einer verwalteten Regel Ihren Anforderungen entsprechend anpassen. Sie können beispielsweise den Umfang der Regel definieren, um einzuschränken, welche Ressourcen eine Auswertung durch die Regel auslösen, z. B. EC2 Instances oder -Volumes. Sie können die Regelparameter anpassen, um die Attribute zu definieren, über die Ihre Ressourcen verfügen müssen, damit sie regelkonform sind. Sie können beispielsweise einen Parameter anpassen, um anzugeben, dass eingehender Datenverkehr zu einem bestimmten Port von Ihrer Sicherheitsgruppe blockiert wird.

Kostenüberlegungen

Einzelheiten zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Config Preise.

Empfehlung: Beenden Sie die Aufzeichnung der Einhaltung der Ressourcenbestimmungen, bevor Sie Regeln löschen

Es wird dringend empfohlen, die Aufzeichnung für den AWS::Config::ResourceCompliance Ressourcentyp zu beenden, bevor Sie Regeln in Ihrem Konto löschen. Durch das Löschen von Regeln entstehen Konfigurationselemente (CIs) für Ihren Konfigurationsrekorder AWS::Config::ResourceCompliance und dies kann sich auf die Kosten für Ihren AWS Config Konfigurationsrekorder auswirken. Wenn Sie Regeln löschen, die eine große Anzahl von Ressourcentypen auswerten, kann dies zu einem Anstieg der Anzahl der aufgezeichneten CIs führen.

Bewährtes Verfahren:

Beenden Sie die Aufnahme AWS::Config::ResourceCompliance
Regel (n) löschen
Schalten Sie die Aufnahme ein für AWS::Config::ResourceCompliance

Auslösertypen

Nachdem Sie Ihrem Konto eine Regel hinzugefügt haben, werden Ihre Ressourcen mit den Bedingungen der Regel AWS Config verglichen. Nach dieser ersten Evaluierung werden die Evaluierungen jedes Mal, wenn eine ausgelöst wird, AWS Config fortgesetzt. Die Evaluierungsauslöser sind als Teil der Regel definiert und können die folgenden Typen beinhalten.

Typ des Triggers	Beschreibung
Konfigurationsänderungen	AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde. Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein: Mindestens ein Ressourcentyp Eine Kombination aus einem Ressourcentyp und einer Ressourcen-ID Eine Kombination aus einem Tag-Schlüssel und einem Wert Wann alle aufgezeichneten Ressourcen erstellt, aktualisiert oder gelöscht wurden AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen.
Regelmäßig	AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden.
Hybrid	Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit.

Typ des Triggers

Beschreibung

Konfigurationsänderungen

AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde.

Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein:

Mindestens ein Ressourcentyp
Eine Kombination aus einem Ressourcentyp und einer Ressourcen-ID
Eine Kombination aus einem Tag-Schlüssel und einem Wert
Wann alle aufgezeichneten Ressourcen erstellt, aktualisiert oder gelöscht wurden

AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen.

Regelmäßig

AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden.

Hybrid

Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit.

Evaluierungsmodi

Es gibt zwei Bewertungsmodi für AWS Config Regeln.

Bewertungsmodus	Beschreibung
Proaktiv	Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie auswerten, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NICHT KONFORM gelten würde. Weitere Informationen finden Sie unter Auswertungsmodi. Eine Liste der verwalteten Regeln, die eine proaktive Bewertung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus.
Detektivisch	Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten.

Bewertungsmodus

Beschreibung

Proaktiv

Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie auswerten, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NICHT KONFORM gelten würde.

Weitere Informationen finden Sie unter Auswertungsmodi. Eine Liste der verwalteten Regeln, die eine proaktive Bewertung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus.

Detektivisch

Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten.

Anmerkung

Durch proaktive Regeln werden keine Ressourcen korrigiert, die als NON_COMPLIANT gekennzeichnet sind, und sie verhindern auch nicht, dass diese bereitgestellt werden.

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Auswertungsmodus

Liste der verwalteten -Regeln