Creación de plantillas para paquetes de conformidad personalizados - AWS Config
TerminologíaPersonalización de la plantilla

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de plantillas para paquetes de conformidad personalizados

Un paquete de conformidad personalizado es un conjunto único de AWS Config reglas y acciones correctivas que puedes implementar de forma conjunta en una cuenta y una AWS región, o en toda una organización. AWS Organizations

Para crear un paquete de conformidad personalizado, siga los pasos de la siguiente sección Personalización de la plantilla para crear un archivo YAML que incluya la lista de reglas de AWS Config administradas o las reglas personalizadas de AWS Config con las que quiere trabajar.

Terminología

AWS Config Las reglas administradas son reglas predefinidas propiedad de. AWS Config

AWS Config Las reglas personalizadas son reglas que se crean desde cero.

Hay dos formas de crear reglas AWS Config personalizadas: con funciones de Lambda (Guía para AWS Lambda desarrolladores) y con Guard (Guard GitHub Repository), un policy-as-code lenguaje. AWS Config las reglas personalizadas creadas con AWS Lambda se denominan reglas Lambda AWS Config personalizadas y las reglas AWS Config personalizadas creadas con Guard se denominan reglas de políticas AWS Config personalizadas.

Personalización de la plantilla

Crear el archivo YAML

Para crear un archivo YAML, abra un editor de texto y guarde el archivo como .yaml.

nota

El archivo incluirá una sección Parámetros y una Recursos.

Parámetros

La Parameters sección del archivo YAML corresponde a los parámetros de regla del conjunto de AWS Config reglas que añadirá más adelante en la Resources sección. Cree la sección Parameters copiando y pegando el siguiente bloque de código en su archivo YAML, personalizándolo según sea necesario y repitiéndolo para cada parámetro de la regla.

Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Por ejemplo:

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
nota

Al seleccionar las AWS Config reglas para crear tu paquete de conformidad personalizado, comprueba que tienes los recursos aprovisionados en tu cuenta que se evaluarán en función de las reglas. AWS Config

  1. La primera línea de la sección de parámetros que sigue Parameters: es una cadena concatenada de + Param +. NameOfRuleNameOfRuleParameter

    1. Sustituya NameOfRule por un nombre coherente que haya creado para la regla. Por ejemplo, eso podría ser IamPasswordPolicypara la regla. iam-password-policy

    2. Escriba Param.

    3. A continuación, sustituya NameOfRuleParameter por el nombre del parámetro de la regla especificada. En el caso de las reglas AWS Config administradas, el nombre del parámetro de regla se encuentra en la lista de reglas AWS Config administradas (por ejemplo, MinimumPasswordLengthes el nombre de un parámetro de regla de la iam-password-policyregla). En el caso de las reglas personalizadas de AWS Config , el nombre del parámetro de regla es el nombre elegido al crear la regla.

  2. Si utiliza una regla AWS Config administrada, busque la AWS Config regla adecuada en la lista de reglas administradas para conocer los valores aceptados para Default y Type para su regla en particular. En el caso de las reglas personalizadas de AWS Config , utilice los valores seleccionados al crear la regla.

    nota

    TypeDebe especificarse para cada parámetro. Typepuede ser «String», «int», «double», «CSV», «boolean» y "StringMap».

Recursos

En la sección Resources se enumeran las reglas que se van a añadir al paquete de conformidad personalizado. Añada el siguiente bloque Resources directamente debajo de la sección Parameters, personalícelo según sea necesario y repítalo para cada regla. Para obtener más información sobre las especificaciones, consulte. AWS::Config::ConfigRule

Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Por ejemplo:

Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule
nota

Al seleccionar las AWS Config reglas para crear su paquete de conformidad personalizado, compruebe que dispone de los recursos que se evaluarán para las AWS Config reglas aprovisionadas en su cuenta. Para obtener más información, consulte Tipos de recursos admitidos.

  1. Sustituya NameOfRule por el mismo nombre creado en la sección Parameters.

  2. En el caso de las reglas AWS Config administradas, ActualConfigRuleName sustitúyalo por el título de la página de reglas correspondiente de la lista de reglas AWS Config administradas. Para las reglas AWS Config personalizadas, usa el nombre de la regla de Config que elegiste en el momento de la creación de la regla.

  3. Sustituya NameOfRuleParameter por el mismo nombre usado en la sección Parameters. Después de los dos puntos, copia y pega la misma cadena concatenada de NameOfRule+ Param + NameOfRuleParameterque creaste en la sección. Parameters

  4. Cambie Owner por el valor adecuado.

    nota

    AWS Config Reglas administradas

    En el AWS Config caso de las reglas administradas, el valor de Owner seráAWS.

    AWS Config Reglas personalizadas

    En el AWS Config caso de las reglas personalizadas creadas con Guard, el valor de Owner seráCUSTOM_POLICY. Para las reglas AWS Config personalizadas creadas con Lambda, el valor de Owner será. CUSTOM_LAMBDA

  5. Cambie SOURCE_IDENTIFIER por el valor adecuado.

    nota

    AWS Config Reglas administradas

    En el caso de las reglas AWS Config administradas, copie el identificador siguiendo el enlace de la regla que seleccione de la lista de reglas AWS Config administradas (por ejemplo, el identificador de origen de la access-keys-rotatedregla es ACCESS_KEYS_ROTATED).


    AWS Config Reglas personalizadas

    En el AWS Config caso de las reglas personalizadas creadas con Lambda, SourceIdentifier es el nombre de recurso de Amazon (ARN) de la AWS Lambda función de la regla, por ejemplo. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName En el AWS Config caso de las reglas personalizadas creadas con Guard, este campo no es necesario.

En conjunto, el paquete de conformidad personalizado que haya rellenado debería empezar a tener un aspecto similar al siguiente, que es un ejemplo en el que se utilizan las siguientes reglas AWS Config gestionadas: iam-password-policyaccess-keys-rotated, y iam-user-unused-credentials-check.

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule