Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Config Aturan Kustom
AWS Config Aturan Kustom adalah aturan yang Anda buat dari awal. Ada dua cara untuk membuat aturan AWS Config khusus: dengan fungsi Lambda (Panduan AWS Lambda Pengembang) dan dengan Guard (Guard GitHub Repository
AWS Config Aturan kustom yang dibuat dengan Lambda disebut Aturan AWS Config Lambda AWS Config Kustom dan aturan khusus yang dibuat dengan Guard disebut AWS Config Aturan Kebijakan Kustom.
AWS Config Aturan Kebijakan Kustom
Aturan yang ditulis menggunakan Guard dapat dibuat dari AWS Config konsol atau dengan menggunakan API AWS Config aturan. AWS Config Aturan Kebijakan Kustom memungkinkan Anda membuat aturan AWS Config Kustom tanpa perlu menggunakan Java atau Python untuk mengembangkan fungsi Lambda untuk mengelola aturan kustom Anda. AWS Config Aturan Kebijakan Kustom dimulai oleh perubahan konfigurasi. Untuk informasi selengkapnya tentang Guard, lihat Guard GitHub Repository
AWS Config Aturan Lambda Kustom
Aturan Lambda khusus memberi Anda opsi untuk menggunakan Java atau Python untuk membuat fungsi Lambda untuk aturan Kustom. AWS Config Fungsi Lambda adalah kode khusus yang Anda unggah AWS Lambda, dan dipanggil oleh peristiwa yang dipublikasikan oleh sumber peristiwa. Jika fungsi Lambda dikaitkan dengan AWS Config aturan, AWS Config memanggilnya saat aturan dimulai. Fungsi Lambda kemudian mengevaluasi informasi konfigurasi yang dikirim oleh AWS Config, dan mengembalikan hasil evaluasi. Untuk informasi selengkapnya tentang fungsi Lambda, lihat Sumber Fungsi dan Peristiwa di Panduan AWS Lambda Pengembang.
Pertimbangan Biaya
Untuk detail tentang biaya yang terkait dengan pencatatan sumber daya, lihat AWS Config harga
Rekomendasi: Tambahkan logika untuk menangani evaluasi sumber daya yang dihapus untuk aturan lambda khusus
Saat membuat aturan lambda AWS Config kustom, sangat disarankan agar Anda menambahkan logika untuk menangani evaluasi sumber daya yang dihapus.
Ketika hasil evaluasi ditandai sebagaiNOT_APPLICABLE, mereka akan ditandai untuk dihapus dan dibersihkan. Jika TIDAK ditandai sebagaiNOT_APPLICABLE, hasil evaluasi akan tetap tidak berubah sampai aturan dihapus, yang dapat menyebabkan lonjakan tak terduga dalam pembuatan item konfigurasi (CI) untuk penghapusan aturanAWS::Config::ResourceCompliance.
Untuk informasi tentang cara menyetel aturan lambda AWS Config kustom agar ditampilkan untuk sumber daya yang NOT_APPLICABLE dihapus, lihat Mengelola sumber daya yang dihapus dengan aturan lambda AWS Config kustom.
Rekomendasi: Menyediakan sumber daya dalam cakupan untuk aturan lambda khusus
AWS Config Aturan Lambda Kustom dapat menyebabkan sejumlah besar pemanggilan fungsi Lambda jika aturan tidak dicakup ke satu atau beberapa jenis sumber daya. Untuk menghindari peningkatan aktivitas yang terkait dengan akun Anda, sangat disarankan untuk menyediakan sumber daya dalam cakupan aturan Lambda Kustom Anda. Jika tidak ada jenis sumber daya yang dipilih, aturan akan memanggil fungsi Lambda untuk semua sumber daya di akun.
Rekomendasi: Berhenti merekam kepatuhan sumber daya sebelum menghapus aturan
Sangat disarankan agar Anda berhenti merekam untuk jenis AWS::Config::ResourceCompliance sumber daya sebelum menghapus aturan di akun Anda. Menghapus aturan membuat CI untuk AWS::Config::ResourceCompliance dan dapat memengaruhi biaya perekam AWS Config konfigurasi Anda. Jika Anda menghapus aturan yang mengevaluasi sejumlah besar jenis sumber daya, ini dapat menyebabkan lonjakan jumlah CI yang direkam.
Praktik terbaik:
Berhenti merekam
AWS::Config::ResourceComplianceHapus aturan
Aktifkan rekaman untuk
AWS::Config::ResourceCompliance
Jenis Pemicu
Setelah Anda menambahkan aturan ke akun Anda, AWS Config bandingkan sumber daya Anda dengan ketentuan aturan. Setelah evaluasi awal ini, AWS Config terus jalankan evaluasi setiap kali dipicu. Pemicu evaluasi didefinisikan sebagai bagian dari aturan, dan mereka dapat mencakup jenis berikut.
| Jenis pemicu | Deskripsi |
|---|---|
| Perubahan konfigurasi | AWS Config menjalankan evaluasi untuk aturan ketika ada sumber daya yang cocok dengan cakupan aturan dan ada perubahan konfigurasi sumber daya. Evaluasi berjalan setelah AWS Config mengirimkan pemberitahuan perubahan item konfigurasi. Anda memilih sumber daya mana yang memulai evaluasi dengan menentukan ruang lingkup aturan. Ruang lingkup dapat mencakup yang berikut:
AWS Config menjalankan evaluasi saat mendeteksi perubahan pada sumber daya yang cocok dengan cakupan aturan. Anda dapat menggunakan ruang lingkup untuk menentukan sumber daya mana yang memulai evaluasi. |
| Berkala | AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda pilih; misalnya, setiap 24 jam. |
| Hibrida | Beberapa aturan memiliki perubahan konfigurasi dan pemicu periodik. Untuk aturan ini, AWS Config evaluasi sumber daya Anda saat mendeteksi perubahan konfigurasi dan juga pada frekuensi yang Anda tentukan. |
Mode Evaluasi
Ada dua mode evaluasi untuk AWS Config aturan.
| Mode evaluasi | Deskripsi |
|---|---|
| Proaktif | Gunakan evaluasi proaktif untuk mengevaluasi sumber daya sebelum digunakan. Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda. Untuk informasi selengkapnya, lihat Mode evaluasi. Untuk daftar aturan terkelola yang mendukung evaluasi proaktif, lihat Daftar Aturan AWS Config Terkelola menurut Mode Evaluasi. |
| Detective | Gunakan evaluasi detektif untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada. |
catatan
Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.
Topik
