Mengevaluasi Sumber Daya dengan Aturan AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan AWS Config untuk mengevaluasi pengaturan konfigurasi AWS sumber daya Anda. Anda melakukan ini dengan membuat AWS Config aturan, yang mewakili pengaturan konfigurasi ideal Anda. AWS Config menyediakan aturan yang dapat disesuaikan dan telah ditentukan sebelumnya yang disebut aturan terkelola untuk membantu Anda memulai.

Pertimbangan

Pertimbangan Biaya

Untuk detail tentang biaya yang terkait dengan pencatatan sumber daya, lihat AWS Config harga.

Rekomendasi: Pertimbangkan untuk mengecualikan jenis AWS::Config::ResourceCompliance sumber daya dari rekaman sebelum menghapus aturan

Menghapus aturan membuat item konfigurasi (CIs) untuk AWS::Config::ResourceCompliance itu dapat memengaruhi biaya Anda untuk perekam konfigurasi. Jika Anda menghapus aturan yang mengevaluasi sejumlah besar jenis sumber daya, ini dapat menyebabkan lonjakan jumlah CIs yang direkam.

Untuk menghindari biaya terkait, Anda dapat memilih untuk menonaktifkan perekaman untuk jenis AWS::Config::ResourceCompliance sumber daya sebelum menghapus aturan, dan mengaktifkan kembali perekaman setelah aturan dihapus.

Namun, karena menghapus aturan adalah proses asinkron, mungkin perlu satu jam atau lebih untuk menyelesaikannya. Selama perekaman dinonaktifkanAWS::Config::ResourceCompliance, evaluasi aturan tidak akan dicatat dalam riwayat sumber daya terkait.

AWS Config merekomendasikan agar Anda mempertimbangkan faktor-faktor ini case-by-case berdasarkan sebelum memutuskan bagaimana melanjutkan dengan menghapus aturan.

Rekomendasi: Tambahkan logika untuk menangani evaluasi sumber daya yang dihapus untuk aturan lambda khusus

Saat membuat aturan lambda AWS Config kustom, sangat disarankan agar Anda menambahkan logika untuk menangani evaluasi sumber daya yang dihapus.

Ketika hasil evaluasi ditandai sebagaiNOT_APPLICABLE, mereka akan ditandai untuk dihapus dan dibersihkan. Jika TIDAK ditandai sebagaiNOT_APPLICABLE, hasil evaluasi akan tetap tidak berubah sampai aturan dihapus, yang dapat menyebabkan lonjakan tak terduga dalam pembuatan CIs for on rule AWS::Config::ResourceCompliance deletion.

Untuk informasi tentang cara menyetel aturan lambda AWS Config kustom agar ditampilkan untuk sumber daya yang NOT_APPLICABLE dihapus, lihat Mengelola sumber daya yang dihapus dengan aturan lambda AWS Config kustom.

Rekomendasi: Menyediakan sumber daya dalam cakupan untuk aturan lambda khusus

AWS Config Aturan Lambda Kustom dapat menyebabkan sejumlah besar pemanggilan fungsi Lambda jika aturan tidak dicakup ke satu atau beberapa jenis sumber daya. Untuk menghindari peningkatan aktivitas yang terkait dengan akun Anda, sangat disarankan untuk menyediakan sumber daya dalam cakupan aturan Lambda Kustom Anda. Jika tidak ada jenis sumber daya yang dipilih, aturan akan memanggil fungsi Lambda untuk semua sumber daya di akun.

Pertimbangan Lainnya

Defaut Nilai untuk Aturan Terkelola

Nilai default yang ditentukan untuk aturan terkelola hanya diisi sebelumnya saat menggunakan konsol. AWS Nilai default tidak disediakan untuk API, CLI, atau SDK.

Penundaan Perekaman Item Konfigurasi

AWS Config biasanya mencatat perubahan konfigurasi ke sumber daya Anda tepat setelah perubahan terdeteksi, atau pada frekuensi yang Anda tentukan. Namun, ini atas dasar upaya terbaik dan kadang-kadang bisa memakan waktu lebih lama. Beberapa jenis sumber daya dengan penundaan yang diketahui meliputi: AWS::SecretsManager::Secret danAWS::SQS::Queue. Jenis sumber daya ini adalah contoh, dan daftar ini tidak lengkap.

Kebijakan dan hasil kepatuhan

Kebijakan IAM dan kebijakan lain yang dikelola AWS Organizations dapat memengaruhi apakah AWS Config memiliki izin untuk merekam perubahan konfigurasi untuk sumber daya Anda. Selain itu, aturan secara langsung mengevaluasi konfigurasi sumber daya dan aturan tidak memperhitungkan kebijakan ini saat menjalankan evaluasi. Pastikan bahwa kebijakan yang berlaku selaras dengan cara Anda berniat untuk menggunakan AWS Config.

Bucket Direktori Tidak Didukung

Aturan terkelola hanya mendukung bucket tujuan umum saat mengevaluasi sumber daya Amazon Simple Storage Service (Amazon S3). Untuk informasi selengkapnya tentang bucket tujuan umum dan bucket direktori, lihat Ikhtisar bucket dan Bucket direktori di Panduan Pengguna Amazon S3.

Aturan Terkelola dan Jenis Sumber Daya IAM Global

Jenis sumber daya IAM global yang tersedia sebelum Februari 2022 (AWS::IAM::Group,, AWS::IAM::PolicyAWS::IAM::Role, danAWS::IAM::User) hanya dapat direkam oleh AWS Config di AWS Wilayah yang tersedia sebelum AWS Config Februari 2022. Jenis sumber daya ini tidak dapat dicatat di Wilayah yang didukung AWS Config setelah Februari 2022. Untuk daftar Wilayah tersebut, lihat Merekam AWS Sumber Daya | Sumber Daya Global.

Jika Anda merekam jenis sumber daya IAM global di setidaknya satu Wilayah, aturan periodik yang melaporkan kepatuhan pada jenis sumber daya IAM global akan menjalankan evaluasi di semua Wilayah di mana aturan periodik ditambahkan, bahkan jika Anda belum mengaktifkan pencatatan jenis sumber daya IAM global di Wilayah tempat aturan periodik ditambahkan.

Untuk menghindari evaluasi yang tidak perlu, Anda hanya harus menerapkan aturan berkala yang melaporkan kepatuhan pada jenis sumber daya IAM global ke salah satu Wilayah yang didukung. Untuk daftar aturan terkelola yang didukung di Wilayah mana, lihat Daftar Aturan AWS Config Terkelola menurut Ketersediaan Wilayah.

Support Wilayah

Saat ini, fitur AWS Config Aturan didukung di AWS wilayah berikut. Untuk daftar AWS Config aturan individual yang didukung di Wilayah mana, lihat Daftar Aturan AWS Config Terkelola menurut Ketersediaan Wilayah.

Menerapkan AWS Config Aturan di seluruh akun anggota di AWS Organisasi didukung di Wilayah berikut.