Mode Evaluasi dan Jenis Pemicu untuk AWS Config Aturan - AWS Config
Jenis pemicuMode evaluasiEvaluasi aturan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mode Evaluasi dan Jenis Pemicu untuk AWS Config Aturan

Ketika Anda menambahkan aturan ke akun Anda, Anda dapat menentukan kapan dalam proses pembuatan dan manajemen sumber daya yang AWS Config ingin Anda evaluasi sumber daya Anda. Proses pembuatan dan manajemen sumber daya dikenal sebagai penyediaan sumber daya. Anda memilih mode evaluasi untuk menentukan kapan dalam proses ini Anda AWS Config ingin mengevaluasi sumber daya Anda.

Tergantung pada aturan, AWS Config dapat mengevaluasi konfigurasi sumber daya Anda sebelum sumber daya telah digunakan, setelah sumber daya telah digunakan, atau keduanya. Mengevaluasi sumber daya sebelum digunakan adalah evaluasi proaktif. Mengevaluasi sumber daya setelah dikerahkan adalah evaluasi detektif.

Anda juga dapat memilih jenis pemicu untuk menentukan seberapa sering AWS Config aturan Anda mengevaluasi sumber daya Anda. Sumber daya dapat dievaluasi ketika ada perubahan konfigurasi, pada jadwal berkala, atau keduanya.

Jenis pemicu

Setelah Anda menambahkan aturan ke akun Anda, AWS Config bandingkan sumber daya Anda dengan ketentuan aturan. Setelah evaluasi awal ini, AWS Config terus jalankan evaluasi setiap kali dipicu. Pemicu evaluasi didefinisikan sebagai bagian dari aturan, dan mereka dapat mencakup jenis berikut:

Jenis pemicu Deskripsi
Perubahan konfigurasi AWS Config menjalankan evaluasi untuk aturan ketika ada sumber daya yang cocok dengan cakupan aturan dan ada perubahan konfigurasi sumber daya. Evaluasi berjalan setelah AWS Config mengirimkan pemberitahuan perubahan item konfigurasi.

Anda memilih sumber daya mana yang memulai evaluasi dengan menentukan ruang lingkup aturan. Ruang lingkup dapat mencakup yang berikut:

  • Satu atau lebih jenis sumber daya

  • Kombinasi tipe sumber daya dan ID sumber daya

  • Kombinasi kunci tag dan nilai

  • Ketika sumber daya yang direkam dibuat, diperbarui, atau dihapus

AWS Config menjalankan evaluasi saat mendeteksi perubahan pada sumber daya yang cocok dengan cakupan aturan. Anda dapat menggunakan ruang lingkup untuk menentukan sumber daya mana yang memulai evaluasi.
Berkala AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda pilih; misalnya, setiap 24 jam.
Hibrida Beberapa aturan memiliki perubahan konfigurasi dan pemicu periodik. Untuk aturan ini, AWS Config evaluasi sumber daya Anda saat mendeteksi perubahan konfigurasi dan juga pada frekuensi yang Anda tentukan.

Mode evaluasi

Ada dua mode evaluasi:

Gunakan evaluasi proaktif untuk mengevaluasi sumber daya sebelum digunakan. Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda.

Skema tipe Resource menyatakan properti sumber daya. Anda dapat menemukan skema jenis sumber daya di "ekstensi AWS publik" di dalam AWS CloudFormation registri atau dengan CLI commmand berikut:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Untuk informasi selengkapnya, lihat Mengelola ekstensi melalui referensi AWS CloudFormation registri dan AWS sumber daya serta tipe properti di Panduan AWS CloudFormation Pengguna.

catatan

Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.

Daftar aturan terkelola dengan evaluasi proaktif

Untuk daftar aturan terkelola yang mendukung evaluasi proaktif, lihat Daftar Aturan AWS Config Terkelola menurut Mode Evaluasi.

Daftar jenis sumber daya yang didukung untuk evaluasi proaktif

Berikut ini adalah daftar jenis sumber daya yang didukung untuk evaluasi proaktif:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Contoh aturan dengan evaluasi proaktif

Contoh aturan proaktif

  1. Anda menambahkan aturan AWS Config terkelola,S3_BUCKET_LOGGING_ENABLED, ke akun Anda untuk memeriksa apakah bucket S3 Anda telah mengaktifkan logging.

  2. Untuk mode evaluasi, pilih Aktifkan evaluasi proaktif di AWS Management Console, atau aktifkan PROACTIVE untuk EvaluationModes di PutConfigRuleAPI.

Setelah mengaktifkan evaluasi proaktif, Anda dapat menggunakan StartResourceEvaluationAPI dan GetResourceEvaluationSummaryAPI untuk memeriksa apakah bucket di akun Anda, yang belum di-deploy ke produksi, tidak mengaktifkan logging. Ini memungkinkan Anda untuk menguji konfigurasi sumber daya sebelum menerapkan dan mengevaluasi kembali jika Anda ingin menyebarkan sumber daya ke produksi.

Misalnya, mulai dengan StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::S3::Bucket",
                                     "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Anda harus menerima ResourceEvaluationId dalam output:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Kemudian, gunakan ResourceEvaluationId dengan GetResourceEvaluationSummary API untuk memeriksa hasil evaluasi:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Anda harus menerima output yang mirip dengan yang berikut ini:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "{\"BucketName\": \"my-bucket\", \"LoggingConfiguration\": {\"DestinationBucketName\": \"my-log-bucket\",\"LogFilePrefix\":\"my-log\"}}",

    }
}

Untuk melihat informasi tambahan tentang hasil evaluasi, seperti aturan yang menandai sumber daya sebagai NON_COMPLIANT, gunakan API. GetComplianceDetailsByResource

Gunakan evaluasi detektif untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada.

Contoh aturan dengan evaluasi detektif

Contoh aturan yang dipicu perubahan

  1. Anda menambahkan aturan terkelola,S3_BUCKET_LOGGING_ENABLED, ke akun Anda untuk memeriksa apakah bucket S3 Anda telah mengaktifkan logging.

  2. Jenis pemicu untuk aturan adalah perubahan konfigurasi. AWS Config menjalankan evaluasi untuk aturan saat bucket S3 dibuat, diubah, atau dihapus.

  3. Saat bucket diperbarui, perubahan konfigurasi akan memulai aturan dan AWS Config mengevaluasi apakah bucket sesuai dengan aturan.

Contoh aturan periodik

  1. Anda menambahkan aturan terkelola,IAM_PASSWORD_POLICY, ke akun Anda. Aturan memeriksa apakah kebijakan kata sandi untuk pengguna IAM Anda mematuhi kebijakan akun Anda, seperti mewajibkan panjang minimum atau memerlukan karakter tertentu.

  2. Jenis pemicu untuk aturan tersebut bersifat periodik. AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda tentukan, seperti setiap 24 jam.

  3. Setiap 24 jam, aturan dimulai dan AWS Config mengevaluasi apakah kata sandi untuk pengguna IAM Anda sesuai dengan aturan.

Contoh aturan hibrida dengan perubahan konfigurasi dan pemicu periodik

  1. Buat aturan khusus yang mengevaluasi apakah AWS CloudTrail jejak di akun Anda diaktifkan dan masuk ke semua Wilayah.

  2. Anda AWS Config ingin menjalankan evaluasi untuk aturan setiap kali jejak dibuat, diperbarui, atau dihapus. Anda juga AWS Config ingin menjalankan aturan setiap 12 jam.

  3. Untuk jenis pemicu, Anda menulis logika untuk perubahan konfigurasi dan pemicu periodik. Untuk informasi selengkapnya, lihat Komponen AWS Config Aturan: Aturan Menulis.

Evaluasi aturan saat perekam konfigurasi dimatikan

Jika Anda mematikan perekam konfigurasi, AWS Config berhenti merekam perubahan pada konfigurasi sumber daya Anda. Ini memengaruhi evaluasi aturan Anda dengan cara berikut:

  • Aturan periodik terus menjalankan evaluasi pada frekuensi yang ditentukan.

  • Aturan yang dipicu perubahan tidak menjalankan evaluasi.

  • Aturan hibrida menjalankan evaluasi hanya pada frekuensi yang ditentukan. Aturan tidak menjalankan evaluasi untuk perubahan konfigurasi.

  • Jika Anda menjalankan evaluasi sesuai permintaan untuk aturan dengan pemicu perubahan konfigurasi, aturan akan mengevaluasi status sumber daya yang terakhir diketahui, yang merupakan item konfigurasi terakhir yang direkam.

penting

Hindari AWS Config evaluasi yang tidak perlu

Aturan periodik dan aturan hibrida akan terus berjalan kecuali dihapus, bahkan jika Anda telah mematikan perekam konfigurasi. Aturan ini hanya akan mengevaluasi item konfigurasi yang direkam sebelum perekam konfigurasi dimatikan, yang berarti aturan ini akan mereproduksi hasil evaluasi yang sama tanpa informasi baru. Hapus aturan periodik dan aturan hibrid saat Anda mematikan perekam konfigurasi untuk menghindari evaluasi aktivitas dan aturan yang tidak perlu.