Mengevaluasi Sumber Daya Anda dengan Aturan AWS Config - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengevaluasi Sumber Daya Anda dengan Aturan AWS Config

Saat Anda membuat aturan khusus atau menggunakan aturan terkelola, AWS Config evaluasi sumber daya Anda terhadap aturan tersebut. Anda dapat menjalankan evaluasi berdasarkan permintaan untuk sumber daya yang bertentangan dengan aturan Anda. Misalnya, ini berguna saat Anda membuat aturan khusus dan ingin memeriksa apakah mengevaluasi sumber daya Anda dengan benar atau untuk mengidentifikasi apakah ada masalah dengan logika evaluasi AWS Lambda fungsi Anda. AWS Config

Contoh

  1. Anda membuat aturan khusus yang mengevaluasi apakah pengguna IAM Anda memiliki kunci akses aktif.

  2. AWS Config mengevaluasi sumber daya Anda terhadap aturan kustom Anda.

  3. Pengguna IAM yang tidak memiliki kunci akses aktif ada di akun Anda. Aturan Anda tidak menandai sumber daya ini dengan benar sebagai NON_COMPLIANT.

  4. Anda memperbaiki aturan dan memulai evaluasi lagi.

  5. Karena Anda memperbaiki aturan, aturan mengevaluasi sumber daya Anda dengan benar, dan menandai sumber daya pengguna IAM sebagai NON_COMPLIANT.

Ketika Anda menambahkan aturan ke akun Anda, Anda dapat menentukan kapan dalam proses pembuatan dan manajemen sumber daya yang AWS Config ingin Anda evaluasi sumber daya Anda. Proses pembuatan dan manajemen sumber daya dikenal sebagai penyediaan sumber daya. Anda memilih mode evaluasi untuk menentukan kapan dalam proses ini Anda AWS Config ingin mengevaluasi sumber daya Anda.

Tergantung pada aturan, AWS Config dapat mengevaluasi konfigurasi sumber daya Anda sebelum sumber daya telah digunakan, setelah sumber daya telah digunakan, atau keduanya. Mengevaluasi sumber daya sebelum digunakan adalah evaluasi proaktif. Mengevaluasi sumber daya setelah dikerahkan adalah evaluasi detektif.

Gunakan evaluasi proaktif untuk mengevaluasi sumber daya sebelum digunakan. Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda.

Skema tipe Resource menyatakan properti sumber daya. Anda dapat menemukan skema jenis sumber daya di "ekstensi AWS publik" di dalam AWS CloudFormation registri atau dengan CLI commmand berikut:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Untuk informasi selengkapnya, lihat Mengelola ekstensi melalui referensi AWS CloudFormation registri dan AWS sumber daya serta tipe properti di Panduan AWS CloudFormation Pengguna.

catatan

Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.

Mengevaluasi Sumber Daya Anda

Untuk mengaktifkan evaluasi proaktif

  1. Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config/.

  2. Di AWS Management Console menu, verifikasi bahwa pemilih Wilayah diatur ke Wilayah yang mendukung AWS Config aturan. Untuk daftar AWS Wilayah yang didukung, lihat AWS Config Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

  3. Di navigasi kiri, pilih Aturan. Untuk daftar aturan terkelola yang mendukung evaluasi proaktif, lihat Daftar Aturan AWS Config Terkelola menurut Mode Evaluasi.

  4. Pilih aturan, lalu pilih Edit aturan untuk aturan yang ingin Anda perbarui.

  5. Untuk mode Evaluasi, pilih Aktifkan evaluasi proaktif untuk memungkinkan Anda menjalankan evaluasi pada pengaturan konfigurasi sumber daya Anda sebelum dikerahkan.

  6. Pilih Simpan.

catatan

Anda juga dapat mengaktifkan evaluasi proaktif menggunakan put-config-ruleperintah dan mengaktifkan PROACTIVE untuk EvaluationModes atau menggunakan PutConfigRuletindakan dan mengaktifkan PROACTIVE untuk. EvaluationModes

Setelah mengaktifkan evaluasi proaktif, Anda dapat menggunakan StartResourceEvaluationAPI dan GetResourceEvaluationSummaryAPI untuk memeriksa apakah sumber daya yang Anda tentukan dalam perintah ini akan ditandai sebagai NON_COMPLIANT oleh aturan proaktif di akun Anda di Wilayah Anda.

Misalnya, mulai dengan StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Anda harus menerima ResourceEvaluationId dalam output:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Kemudian, gunakan ResourceEvaluationId dengan GetResourceEvaluationSummary API untuk memeriksa hasil evaluasi:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Anda harus menerima output yang mirip dengan yang berikut ini:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Untuk melihat informasi tambahan tentang hasil evaluasi, seperti aturan yang menandai sumber daya sebagai NON_COMPLIANT, gunakan API. GetComplianceDetailsByResource

Gunakan evaluasi detektif untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada.

Mengevaluasi Sumber Daya Anda (Konsol)

  1. Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config/.

  2. Di AWS Management Console menu, periksa apakah pemilih wilayah diatur ke Wilayah yang mendukung AWS Config aturan. Untuk daftar wilayah yang didukung, lihat AWS Config Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

  3. Di panel navigasi, pilih Aturan. Halaman Aturan menunjukkan nama, tindakan remediasi terkait, dan status kepatuhan setiap aturan.

  4. Pilih aturan dari tabel.

  5. Dari daftar dropdown Tindakan, pilih Evaluasi ulang.

  6. AWS Config mulai mengevaluasi sumber daya terhadap aturan Anda.

catatan

Anda dapat mengevaluasi kembali aturan satu kali setiap menit. Anda harus menunggu AWS Config untuk menyelesaikan evaluasi untuk aturan Anda sebelum Anda memulai evaluasi lain. Anda tidak dapat menjalankan evaluasi jika pada saat yang sama aturan sedang diperbarui atau jika aturan sedang dihapus.

Mengevaluasi Sumber Daya Anda (CLI)

  • Gunakan start-config-rules-evaluation perintah:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config mulai mengevaluasi konfigurasi sumber daya yang direkam terhadap aturan Anda. Anda juga dapat menentukan beberapa aturan dalam permintaan Anda:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Mengevaluasi Sumber Daya Anda (API)

Gunakan StartConfigRulesEvaluationtindakan.