Komponen AWS Config Aturan - AWS Config
Bagaimana AWS Config Aturan BekerjaJenis PemicuMode EvaluasiMetadata Aturan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Komponen AWS Config Aturan

AWS Config aturan mengevaluasi pengaturan konfigurasi AWS sumber daya Anda. Halaman ini membahas komponen aturan.

Bagaimana AWS Config Aturan Bekerja

Meskipun AWS Config terus melacak perubahan konfigurasi yang terjadi di antara sumber daya Anda, ia memeriksa apakah perubahan ini tidak sesuai dengan ketentuan dalam aturan Anda. Jika sumber daya tidak mematuhi aturan, AWS Config tandai sumber daya dan aturan sebagai tidak sesuai.

Ada empat kemungkinan hasil evaluasi untuk suatu AWS Config aturan.

Hasil evaluasi Deskripsi
COMPLIANT Aturan melewati kondisi pemeriksaan kepatuhan.
NON_COMPLIANT Aturan gagal dalam kondisi pemeriksaan kepatuhan.
ERROR Salah satu parameter yang diperlukan/opsional tidak valid, bukan dari jenis yang benar, atau diformat secara tidak benar.
NOT_APPLICABLE Digunakan untuk menyaring sumber daya yang logika aturan tidak dapat diterapkan. Misalnya, alb-desync-mode-checkaturan hanya memeriksa Application Load Balancers, dan mengabaikan Network Load Balancers dan Gateway Load Balancers.

Misalnya, ketika EC2 volume dibuat, AWS Config dapat mengevaluasi volume terhadap aturan yang membutuhkan volume untuk dienkripsi. Jika volume tidak dienkripsi, AWS Config tandai volume dan aturan sebagai tidak sesuai. AWS Config juga dapat memeriksa semua sumber daya Anda untuk persyaratan seluruh akun. Misalnya, AWS Config dapat memeriksa apakah jumlah EC2 volume dalam akun tetap dalam total yang diinginkan, atau apakah akun digunakan AWS CloudTrail untuk logging.

Jenis Pemicu

Setelah Anda menambahkan aturan ke akun Anda, AWS Config bandingkan sumber daya Anda dengan ketentuan aturan. Setelah evaluasi awal ini, AWS Config terus jalankan evaluasi setiap kali dipicu. Pemicu evaluasi didefinisikan sebagai bagian dari aturan, dan mereka dapat mencakup jenis berikut.

Jenis pemicu Deskripsi
Perubahan konfigurasi AWS Config menjalankan evaluasi untuk aturan ketika ada sumber daya yang cocok dengan cakupan aturan dan ada perubahan konfigurasi sumber daya. Evaluasi berjalan setelah AWS Config mengirimkan pemberitahuan perubahan item konfigurasi.

Anda memilih sumber daya mana yang memulai evaluasi dengan menentukan ruang lingkup aturan. Ruang lingkup dapat mencakup yang berikut:

  • Satu atau lebih jenis sumber daya

  • Kombinasi tipe sumber daya dan ID sumber daya

  • Kombinasi kunci tag dan nilai

  • Ketika sumber daya yang direkam dibuat, diperbarui, atau dihapus

AWS Config menjalankan evaluasi saat mendeteksi perubahan pada sumber daya yang cocok dengan cakupan aturan. Anda dapat menggunakan ruang lingkup untuk menentukan sumber daya mana yang memulai evaluasi.
Berkala AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda pilih; misalnya, setiap 24 jam.
Hibrida Beberapa aturan memiliki perubahan konfigurasi dan pemicu periodik. Untuk aturan ini, AWS Config evaluasi sumber daya Anda saat mendeteksi perubahan konfigurasi dan juga pada frekuensi yang Anda tentukan.

Mode Evaluasi

Ada dua mode evaluasi untuk AWS Config aturan.

Mode evaluasi Deskripsi
Proaktif

Gunakan evaluasi proaktif untuk mengevaluasi sumber daya sebelum digunakan. Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda.
Detective Gunakan evaluasi detektif untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada.
catatan

Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.

Untuk informasi selengkapnya, lihat Mengaktifkan Evaluasi Proaktif untuk AWS Config Aturan.

Daftar aturan terkelola dengan evaluasi proaktif

Untuk daftar aturan terkelola yang mendukung evaluasi proaktif, lihat Daftar Aturan AWS Config Terkelola menurut Mode Evaluasi.

Daftar jenis sumber daya yang didukung untuk evaluasi proaktif

Berikut ini adalah daftar jenis sumber daya yang didukung untuk evaluasi proaktif:

  • AWS::ApiGateway::Stage

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::EC2::Subnet

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

AWS Config Metadata Aturan

AWS Config aturan dapat berisi metadata yang dapat berubah berikut:

DefaultName

DefaultName adalah nama yang instance aturan akan mendapatkan secara default.

deskripsi

Deskripsi aturan memberikan konteks untuk apa yang dievaluasi aturan. AWS Config Konsol memiliki batas 256 karakter. Sebagai praktik terbaik, deskripsi aturan harus dimulai dengan “Memeriksa jika” dan menyertakan deskripsi skenario NON_COMPLIANT. Nama Layanan harus ditulis di awal penuh dengan AWS atau Amazon ketika pertama kali disebutkan dalam deskripsi aturan. Misalnya, AWS CloudTrail atau Amazon CloudWatch sebagai pengganti CloudTrail atau CloudWatch untuk penggunaan pertama. Nama layanan dapat disingkat setelah referensi berikutnya.

ruang lingkup

Ruang lingkup menentukan jenis sumber daya yang ditargetkan aturan. Untuk daftar jenis sumber daya yang didukung, lihat Jenis Sumber Daya yang Didukung.

compulsoryInputParameterDetail

compulsoryInputParameterDetail digunakan untuk parameter yang diperlukan untuk aturan untuk melakukan evaluasinya. Misalnya, aturan access-keys-rotated terkelola termasuk maxAccessKeyAge sebagai parameter yang diperlukan. Jika parameter diperlukan, itu tidak akan ditandai sebagai (Opsional). Untuk setiap parameter, tipe harus ditentukan. Jenis dapat berupa salah satu dari “String”, “int”, “double”, “CSV”, “boolean” dan "StringMap”.

optionalInputParameterDetail

optionalInputParameterDetail digunakan untuk parameter yang opsional untuk aturan untuk melakukan evaluasinya. Misalnya, aturan elasticsearch-logs-to-cloudwatch terkelola termasuk logTypes sebagai parameter opsional. Untuk setiap parameter, tipe harus ditentukan. Jenis dapat berupa salah satu dari “String”, “int”, “double”, “CSV”, “boolean” dan "StringMap”.

supportedEvaluationModes

supportedEvaluationModes Penentuan kapan sumber daya akan dievaluasi, baik sebelum sumber daya telah digunakan atau setelah sumber daya telah digunakan.

DETECTIVEdigunakan untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada. PROACTIVEdigunakan untuk mengevaluasi sumber daya sebelum digunakan.

Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda.

Anda dapat menentukan supportedEvaluationModes keDETECTIVE,PROACTIVE, atau keduanya DETECTIVE danPROACTIVE. Anda harus menentukan mode evaluasi dan bidang ini tidak dapat tetap kosong.

catatan

Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.