Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aturan Lambda Kustom (Contoh Umum)
Selesaikan prosedur berikut untuk membuat aturan Lambda Kustom. Untuk membuat aturan Lambda Kustom, pertama-tama Anda membuat AWS Lambda fungsi, yang berisi logika evaluasi untuk aturan tersebut. Kemudian Anda mengaitkan fungsi dengan aturan Lambda Kustom yang Anda buat. AWS Config
penting
Sebagai praktik keamanan terbaik saat mengizinkan AWS Config izin untuk menjalankan fungsi Lambda Anda, kami sangat menyarankan Anda membatasi akses dalam kebijakan berbasis sumber daya untuk sourceARN
Lambda dengan dan/atau dalam permintaan pemanggilan. sourceAccountId
Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk kebijakan AWS Lambda
berbasis sumber daya.
Daftar Isi
Membuat AWS Lambda Fungsi untuk Aturan Konfigurasi Kustom
Fungsi Lambda adalah kode khusus yang Anda unggah AWS Lambda, dan dipanggil oleh peristiwa yang dipublikasikan oleh sumber peristiwa. Jika fungsi Lambda dikaitkan dengan aturan Config, AWS Config memanggilnya saat pemicu aturan terjadi. Fungsi Lambda kemudian mengevaluasi informasi konfigurasi yang dikirim oleh AWS Config, dan mengembalikan hasil evaluasi. Untuk informasi selengkapnya tentang fungsi Lambda, lihat Sumber Fungsi dan Peristiwa di Panduan AWS Lambda Pengembang.
Anda dapat menggunakan bahasa pemrograman yang didukung oleh AWS Lambda untuk membuat fungsi Lambda untuk aturan Lambda Kustom. Untuk mempermudah tugas ini, Anda dapat menyesuaikan AWS Lambda cetak biru atau menggunakan kembali fungsi sampel dari repositori Aturan. AWS Config GitHub
AWS Lambdacetak biru
AWS Lambda Konsol menyediakan contoh fungsi, atau cetak biru, yang dapat Anda sesuaikan dengan menambahkan logika evaluasi Anda sendiri. Saat Anda membuat fungsi, Anda dapat memilih salah satu cetak biru berikut:
-
config-rule-change-triggered— Dipicu saat konfigurasi AWS sumber daya Anda berubah.
-
config-rule-periodic— Dipicu pada frekuensi yang Anda pilih (misalnya, setiap 24 jam).
AWS Config Aturan GitHub repositori
Repositori publik dari fungsi sampel untuk aturan Lambda Kustom tersedia di GitHub, hosting kode berbasis web dan layanan berbagi. Fungsi sampel dikembangkan dan disumbangkan oleh AWS masyarakat. Jika Anda ingin menggunakan sampel, Anda dapat menyalin kodenya ke AWS Lambda fungsi baru. Untuk melihat repositori, lihat. https://github.com/awslabs/aws-config-rules/
Untuk membuat fungsi untuk aturan kustom Anda
Masuk ke AWS Management Console dan buka AWS Lambda konsol di https://console.aws.amazon.com/lambda/
. -
Di AWS Management Console menu, verifikasi bahwa pemilih wilayah diatur ke wilayah yang mendukung AWS Config aturan. Untuk daftar wilayah yang didukung, lihat AWS Config Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services
-
Pilih Buat fungsi Lambda.
-
Pada halaman Gunakan cetak biru, Anda dapat memilih salah satu fungsi cetak biru untuk AWS Config aturan sebagai titik awal, atau Anda dapat melanjutkan tanpa cetak biru dengan memilih Lewati.
-
Pada halaman Mengonfigurasi pemicu, pilih Selanjutnya.
-
Pada halaman Informasi dasar, ketikkan nama dan deskripsi.
-
Untuk Runtime, pilih bahasa pemrograman tempat fungsi Anda ditulis.
-
Untuk jenis entri Kode, pilih jenis entri pilihan Anda. Jika Anda menggunakan cetak biru, simpan kode yang telah dikonfigurasi sebelumnya.
-
Berikan kode Anda menggunakan metode yang diperlukan oleh jenis entri kode yang Anda pilih. Jika Anda menggunakan cetak biru, kode fungsi disediakan di editor kode, dan Anda dapat menyesuaikannya untuk menyertakan logika evaluasi Anda sendiri. Kode Anda dapat mengevaluasi data peristiwa yang AWS Config disediakan saat memanggil fungsi Anda:
-
Untuk fungsi berdasarkan config-rule-change-triggeredcetak biru, atau untuk fungsi yang dipicu oleh perubahan konfigurasi, data peristiwa adalah item konfigurasi atau objek item konfigurasi berukuran besar untuk sumber daya yang AWS berubah.
-
Untuk fungsi berdasarkan config-rule-periodiccetak biru, atau untuk fungsi yang dipicu pada frekuensi yang Anda pilih, data peristiwa adalah objek JSON yang menyertakan informasi tentang kapan evaluasi dipicu.
-
Untuk kedua jenis fungsi, AWS Config melewati parameter aturan dalam format JSON. Anda dapat menentukan parameter aturan mana yang diteruskan saat membuat aturan Lambda Kustom. AWS Config
-
Misalnya peristiwa yang AWS Config diterbitkan saat memanggil fungsi Anda, lihat. Contoh Acara untuk AWS Config Aturan
-
-
Untuk peran Eksekusi, pilih Buat peran baru dari Templat AWS kebijakan.
-
Untuk Nama peran, ketik nama.
-
Untuk templat Kebijakan, pilih izin Aturan AWS Konfigurasi.
-
Verifikasi detailnya dan pilih Buat fungsi.
Membuat Aturan Kustom di AWS Config
Gunakan AWS Config untuk membuat aturan Lambda Kustom dan mengaitkan aturan dengan fungsi Lambda.
Untuk membuat aturan khusus
-
Buka AWS Config konsol di https://console.aws.amazon.com/config/
. -
Di AWS Management Console menu, verifikasi bahwa pemilih wilayah disetel ke wilayah yang sama tempat Anda membuat AWS Lambda fungsi untuk aturan Lambda Kustom Anda.
-
Pada halaman Aturan, pilih Tambahkan aturan.
-
Pada halaman Tentukan jenis aturan, pilih Buat aturan kustom.
-
Pada halaman Konfigurasi aturan, ketikkan nama dan deskripsi.
-
Untuk AWS Lambda fungsi ARN, tentukan ARN yang AWS Lambda ditetapkan ke fungsi Anda.
catatan
ARN yang Anda tentukan dalam langkah ini tidak boleh menyertakan kualifikasi.
$LATEST
Anda dapat menentukan ARN tanpa kualifikasi versi atau dengan kualifikasi apa pun selain itu.$LATEST
AWS Lambda mendukung versi fungsi, dan setiap versi diberi ARN dengan kualifikasi. AWS Lambda menggunakan$LATEST
qualifier untuk versi terbaru. -
Untuk tipe Trigger, pilih salah satu atau kedua hal berikut:
-
Perubahan konfigurasi — AWS Config memanggil fungsi Lambda Anda saat mendeteksi perubahan konfigurasi.
-
Periodik — AWS Config memanggil fungsi Lambda Anda pada frekuensi yang Anda pilih (misalnya, setiap 24 jam).
-
-
Jika tipe pemicu untuk aturan Anda menyertakan perubahan Konfigurasi, tentukan salah satu opsi berikut untuk Lingkup perubahan yang digunakan untuk AWS Config memanggil fungsi Lambda Anda:
-
Semua perubahan — Ketika sumber daya apa pun yang direkam oleh AWS Config dibuat, diubah, atau dihapus.
-
Sumber Daya — Ketika sumber daya apa pun yang cocok dengan tipe tertentu, atau pengenal tipe plus, dibuat, diubah, atau dihapus.
-
Tag - Ketika sumber daya apa pun dengan tag yang ditentukan dibuat, diubah, atau dihapus
-
-
Jika tipe pemicu untuk aturan Anda menyertakan Periodik, tentukan Frekuensi yang digunakan untuk AWS Config memanggil fungsi Lambda Anda.
-
Di bagian Parameter, tentukan parameter aturan apa pun yang dievaluasi AWS Lambda fungsi Anda dan nilai yang diinginkan.
-
Pilih Selanjutnya. Pada halaman Tinjau dan buat, verifikasi detail tentang aturan Anda, dan pilih Tambahkan fungsi aturan. Aturan baru Anda ditampilkan di halaman Aturan.
Kepatuhan akan menampilkan Mengevaluasi... sampai AWS Config menerima hasil evaluasi dari AWS Lambda fungsi Anda. Jika aturan dan fungsi berfungsi seperti yang diharapkan, ringkasan hasil muncul setelah beberapa menit. Anda dapat memperbarui hasil dengan tombol refresh.
Jika aturan atau fungsi tidak berfungsi seperti yang diharapkan, Anda mungkin melihat salah satu dari berikut ini untuk Kepatuhan:
-
Tidak ada hasil yang dilaporkan - AWS Config mengevaluasi sumber daya Anda terhadap aturan. Aturan tidak berlaku untuk AWS sumber daya dalam ruang lingkupnya, sumber daya yang ditentukan dihapus, atau hasil evaluasi dihapus. Untuk mendapatkan hasil evaluasi, perbarui aturan, ubah cakupannya, atau pilih Evaluasi ulang.
Pesan ini juga dapat muncul jika aturan tidak melaporkan hasil evaluasi.
-
Tidak ada sumber daya dalam ruang lingkup - AWS Config tidak dapat mengevaluasi AWS sumber daya Anda yang direkam terhadap aturan ini karena tidak ada sumber daya Anda yang berada dalam cakupan aturan. Anda dapat memilih sumber daya yang AWS Config direkam di halaman Pengaturan.
-
Evaluasi gagal - Untuk informasi yang dapat membantu Anda menentukan masalah, pilih nama aturan untuk membuka halaman detailnya dan lihat pesan galat.
-
catatan
Saat Anda membuat aturan Lambda Kustom dengan AWS Config konsol, izin yang sesuai akan dibuat secara otomatis untuk Anda. Jika Anda membuat aturan Lambda Kustom dengan AWS CLI, Anda harus memberikan AWS Config izin untuk menjalankan fungsi Lambda Anda, menggunakan perintah. aws lambda add-permission
Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Berbasis Sumber Daya untuk (Kebijakan Fungsi AWS Lambda Lambda) di Panduan Pengembang.AWS Lambda
Sebelum memberikan AWS Config izin untuk menjalankan fungsi Lambda Anda, lihat bagian berikut. Praktik terbaik keamanan untuk kebijakan AWS Lambda berbasis sumber daya
Praktik terbaik keamanan untuk kebijakan AWS Lambda berbasis sumber daya
Sebagai praktik keamanan terbaik, untuk menghindari pemberian izin pemanggilan untuk seluruh nama utama layanan (SPN) untuk memanggil fungsi Lambda Anda, kami sangat menyarankan Anda membatasi akses dalam kebijakan berbasis sumber daya Lambda dengan dan/atau dalam permintaan pemanggilan. sourceARN
sourceAccountId
sourceARN
Itu adalah ARN AWS Config aturan yang menjalankan fungsi Lambda.
sourceAccountId
Ini adalah ID akun pengguna yang membuat aturan.
Membatasi akses dalam kebijakan berbasis sumber daya Lambda membantu AWS Lambda memastikan mengakses sumber daya Anda hanya atas nama pengguna dan skenario yang diharapkan.
Untuk menambahkan izin berbasis SPN, Anda perlu menggunakan CLI berikut
aws lambda add-permission --function-name
rule lambda function name
--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com
Untuk menambahkan izin SourceAccountId berbasis
Sebelum aturan dibuat, Anda dapat menambahkan izin sourceAccountId
berbasis ke kebijakan berbasis sumber daya dengan CLI berikut
aws lambda add-permission --function-name
rule lambda function name
--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-accountyour account ID
Untuk menambahkan keduanya SourceArn dan izin SourceAccountId berdasarkan
Setelah aturan dibuat, Anda dapat menambahkan izin sourceARN
berbasis ke kebijakan berbasis sumber daya dengan CLI berikut. Ini hanya memungkinkan ARN aturan tertentu untuk memanggil fungsi Lambda.
aws lambda add-permission --function-name
rule lambda function name
--action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-accountyour account ID
--source-arnARN of the created config rule
Mengevaluasi Jenis Sumber Daya Tambahan
Anda dapat membuat aturan Lambda Kustom untuk menjalankan evaluasi untuk jenis sumber daya yang belum direkam oleh. AWS Config Ini berguna jika Anda ingin mengevaluasi kepatuhan untuk jenis sumber daya tambahan yang saat ini AWS Config tidak direkam. Untuk daftar jenis sumber daya tambahan yang dapat Anda evaluasi dengan aturan Lambda Kustom, lihat Referensi Jenis AWS Sumber Daya.
catatan
Saat membuat Lambda Kustom untuk jenis sumber daya yang tidak direkam oleh AWS Config, aturan harus memiliki tipe pemicu periodik. Jenis pemicu perubahan konfigurasi tidak didukung. Untuk informasi selengkapnya, lihat Mode Evaluasi dan Jenis Pemicu untuk AWS Config Aturan.
Contoh
-
Anda ingin mengevaluasi kubah Amazon S3 Glacier di akun Anda. Sumber daya kubah Amazon S3 Glacier saat ini tidak direkam oleh. AWS Config
-
Anda membuat AWS Lambda fungsi yang mengevaluasi apakah brankas Amazon S3 Glacier Anda memenuhi persyaratan akun Anda.
-
Anda membuat aturan Lambda Kustom bernama evaluate-glacier-vaultsdan kemudian menetapkan AWS Lambda fungsi Anda ke aturan.
-
AWS Config memanggil fungsi Lambda Anda dan kemudian mengevaluasi kubah Amazon S3 Glacier terhadap aturan Anda.
-
AWS Config mengembalikan evaluasi dan Anda dapat melihat hasil kepatuhan untuk aturan Anda.
catatan
Anda dapat melihat detail konfigurasi di AWS Config timeline dan mencari sumber daya di AWS Config konsol untuk sumber daya yang AWS Config mendukung. Jika Anda mengonfigurasi AWS Config untuk merekam semua jenis sumber daya, sumber daya yang baru didukung akan direkam secara otomatis. Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.