Membuat template untuk Paket Kesesuaian Kustom untuk AWS Config

Paket kesesuaian kustom adalah kumpulan AWS Config aturan dan tindakan remediasi unik yang dapat Anda terapkan bersama di akun dan AWS Wilayah, atau di seluruh organisasi di. AWS Organizations

Untuk membuat paket kesesuaian kustom, ikuti langkah-langkah di bagian Menyesuaikan template berikut untuk membuat file YAMG yang berisi daftar Aturan AWS Config Terkelola atau Aturan AWS Config Kustom yang ingin Anda kerjakan.

Terminologi

AWS Config Aturan Terkelola adalah aturan standar yang dimiliki oleh AWS Config.

AWS Config Aturan Kustom adalah aturan yang Anda buat dari awal.

Ada dua cara untuk membuat aturan AWS Config khusus: dengan fungsi Lambda (Panduan AWS Lambda Pengembang) dan dengan Guard (Guard GitHub Repository), sebuah bahasa. policy-as-code AWS Config Aturan kustom AWS Lambda yang dibuat dengan disebut Aturan Lambda AWS Config Kustom dan aturan AWS Config kustom yang dibuat dengan Guard disebut Aturan Kebijakan AWS Config Kustom.

Menyesuaikan template

Membuat file YAMAL Anda

Untuk membuat file YAMG, buka editor teks dan simpan file sebagai .yaml.

catatan

File Anda akan berisi bagian Parameter dan Sumber Daya.

Parameter

ParametersBagian dalam file YAMAL Anda adalah untuk parameter aturan untuk kumpulan AWS Config aturan yang akan Anda tambahkan nanti di Resources bagian. Buat Parameters bagian dengan menyalin dan menempelkan blok kode berikut ke dalam file YAMG Anda, sesuaikan sesuai kebutuhan dan ulangi untuk setiap parameter aturan.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Sebagai contoh:


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

catatan

Saat memilih AWS Config Aturan untuk membangun paket kesesuaian kustom Anda, periksa apakah sumber daya yang disediakan dalam akun Anda yang akan dievaluasi untuk Aturan. AWS Config

Baris pertama di bagian parameter setelahnya Parameters: adalah string gabungan dari+Param NameOfRule +. NameOfRuleParameter
1. Ganti NameOfRule dengan nama konsisten yang Anda buat untuk aturan. Misalnya, itu bisa IamPasswordPolicyuntuk iam-password-policy aturan.
2. Ketik Param.
3. Kemudian, ganti NameOfRuleParameter dengan nama parameter aturan untuk aturan spesifik Anda. Untuk Aturan AWS Config Terkelola, nama parameter aturan terletak di Daftar Aturan AWS Config Terkelola (misalnya, MinimumPasswordLengthadalah nama parameter aturan untuk iam-password-policyaturan). Untuk Aturan AWS Config Kustom, nama parameter aturan adalah nama yang Anda pilih saat Anda membuat aturan.
Jika Anda menggunakan Aturan AWS Config Terkelola, temukan AWS Config aturan yang sesuai dalam daftar aturan terkelola sehingga Anda akan mengetahui nilai yang diterima untuk Default dan Type untuk aturan khusus Anda. Untuk Aturan AWS Config Kustom, gunakan nilai yang Anda pilih saat membuat aturan.

catatan
Untuk setiap parameter, Type harus ditentukan. Typedapat berupa salah satu dari “String”, “int”, “double”, “CSV”, “boolean” dan "StringMap”.

Sumber Daya

ResourcesBagian ini mencantumkan aturan yang ditambahkan ke Paket Kesesuaian Kustom Anda. Tambahkan Resources blok berikut langsung di bawah Parameters bagian Anda, sesuaikan sesuai kebutuhan dan ulangi untuk setiap aturan. Untuk informasi lebih lanjut tentang spesifikasi, lihat AWS::Config::ConfigRule.


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Sebagai contoh:


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

catatan

Saat memilih AWS Config aturan untuk membuat paket kesesuaian kustom, periksa apakah Anda memiliki sumber daya yang akan dievaluasi untuk AWS Config aturan yang disediakan dalam akun Anda. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.

Ganti NameOfRule dengan nama yang sama yang Anda buat di Parameters bagian.
Untuk Aturan AWS Config Terkelola, ganti ActualConfigRuleName dengan judul halaman aturan yang sesuai pada Daftar Aturan AWS Config Terkelola. Untuk Aturan AWS Config Kustom, gunakan nama Aturan Config yang Anda pilih pada saat pembuatan aturan.
Ganti NameOfRuleParameter dengan nama yang sama yang Anda gunakan di Parameters bagian ini. Setelah titik dua, salin dan tempel string gabungan yang sama NameOfRule NameOfRuleParameter dari+Param+yang Anda buat di bagian. Parameters
Ubah Owner ke nilai yang sesuai.

catatan
AWS Config Aturan Terkelola
Untuk Aturan AWS Config Terkelola, Owner nilainya adalahAWS.
AWS Config Aturan Kustom
Untuk aturan AWS Config khusus yang dibuat dengan Guard, Owner nilainya adalahCUSTOM_POLICY. Untuk aturan AWS Config khusus yang dibuat dengan Lambda, nilainya adalah. Owner CUSTOM_LAMBDA
Ubah SOURCE_IDENTIFIER ke nilai yang sesuai.

catatan
AWS Config Aturan Terkelola
Untuk Aturan AWS Config Terkelola, salin pengenal dengan mengikuti tautan dari aturan yang Anda pilih dari Daftar Aturan AWS Config Terkelola (misalnya, pengidentifikasi sumber untuk aturan tersebut adalah access-keys-rotatedACCESS_KEYS_ROTATED). 
AWS Config Aturan Kustom
Untuk aturan AWS Config kustom yang dibuat dengan Lambda, SourceIdentifier ini adalah Nama Sumber Daya Amazon (ARN) dari AWS Lambda fungsi aturan, seperti. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Untuk aturan AWS Config khusus yang dibuat dengan Guard, bidang ini tidak diperlukan.

Secara keseluruhan, paket kesesuaian kustom yang Anda isi akan mulai terlihat mirip dengan berikut ini, yang merupakan contoh menggunakan Aturan AWS Config Terkelola ini: iam-password-policy,, access-keys-rotateddan -check. iam-user-unused-credentials


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh Template dengan Tindakan Remediasi

Menyebarkan Paket Kesesuaian