Terminologia Personalizzazione del modello

Creazione di modelli per pacchetti di conformità personalizzati

Un pacchetto di conformità personalizzato è una raccolta unica di AWS Config regole e azioni correttive che è possibile implementare insieme in un account e in una AWS regione o all'interno di un'organizzazione in. AWS Organizations

Per creare un pacchetto di conformità personalizzato, segui la procedura indicata nella seguente sezione Personalizzazione del modello per creare un file YAML che contenga l'elenco delle regole gestite da AWS Config o delle regole AWS Config personalizzate con cui desideri lavorare.

Terminologia

AWS Config Le Managed Rules sono regole predefinite di proprietà di. AWS Config

AWS Config Le regole personalizzate sono regole create da zero.

Esistono due modi per creare regole AWS Config personalizzate: con le funzioni Lambda (AWS Lambda Developer Guide) e con Guard (Guard GitHub Repository), un linguaggio. policy-as-code AWS Config le regole personalizzate create con AWS Lambda sono chiamate Regole Lambda AWS Config personalizzate e le regole AWS Config personalizzate create con Guard sono chiamate Regole di policy AWS Config personalizzate.

Personalizzazione del modello

Creazione del file YAML

Per creare un file YAML, apri un editor di testo e salva il file come .yaml.

Nota

Il file contiene le sezioni Parametri e Risorse.

Parametri

La Parameters sezione del file YAML contiene i parametri delle regole per il set di AWS Config regole che aggiungerai più avanti nella sezione. Resources Crea la sezione Parameters copiando e incollando il seguente blocco di codice nel file YAML, personalizzandolo secondo necessità e ripetendo l'operazione per ogni parametro della regola.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Per esempio:


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

Nota

Quando selezioni le AWS Config Regole per creare il tuo pacchetto di conformità personalizzato, verifica che all'interno del tuo account siano disponibili le risorse che verranno valutate in base alle Regole. AWS Config

La prima riga nella sezione dei parametri successiva Parameters: è una stringa concatenata di + Param +. NameOfRuleNameOfRuleParameter
1. Sostituisci NameOfRule con un nome coerente creato per la regola. Ad esempio, potrebbe essere IamPasswordPolicyper la regola. iam-password-policy
2. Tipo Param.
3. Quindi, sostituisci NameOfRuleParameter con il nome del parametro della regola specifica. Per AWS Config Managed Rules, il nome del parametro della regola si trova nell'Elenco delle regole AWS Config gestite (ad esempio, MinimumPasswordLengthè il nome di un parametro di regola per la iam-password-policyregola). Per le regole AWS Config personalizzate, il nome del parametro della regola è il nome scelto al momento della creazione della regola.
Se utilizzi una regola AWS Config gestita, trova la AWS Config regola appropriata nell'elenco delle regole gestite in modo da conoscere i valori accettati per Default e Type per la tua regola specifica. Per le regole AWS Config personalizzate, utilizza i valori selezionati durante la creazione della regola.

Nota
Per ogni parametro, Type deve essere specificato. Typepuò essere uno tra «String», «int», «double», «CSV», «boolean» e "». StringMap

Risorse

La sezione Resources elenca le regole che vengono aggiunte al pacchetto di conformità personalizzato. Aggiungi il seguente blocco Resources direttamente sotto la sezione Parameters, personalizzandolo secondo necessità e ripetendo l'operazione per ogni regola. Per ulteriori informazioni sulle specifiche, vedere. AWS::Config::ConfigRule


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Per esempio:


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

Nota

Quando selezioni le AWS Config regole per creare il tuo pacchetto di conformità personalizzato, verifica di disporre delle risorse che verranno valutate per le AWS Config regole previste all'interno del tuo account. Per ulteriori informazioni, consulta Tipi di risorsa supportati.

Sostituisci NameOfRule con lo stesso nome creato nella sezione Parameters.
Per AWS Config Managed Rules, ActualConfigRuleName sostituiscilo con il titolo della pagina delle regole appropriata nell'Elenco delle regole gestite. AWS Config Per le regole AWS Config personalizzate, usa il nome della regola di configurazione che hai scelto al momento della creazione della regola.
Sostituisci NameOfRuleParameter con lo stesso nome utilizzato nella sezione Parameters. Dopo i due punti, copia e incolla la stessa stringa concatenata di NameOfRule+ Param + NameOfRuleParameterche hai creato nella sezione. Parameters
Modifica Owner sul valore appropriato.

Nota
AWS Config Regole gestite
Per AWS Config Managed Rules, il valore per Owner saràAWS.
AWS Config Regole personalizzate
Per le regole AWS Config personalizzate create con Guard, il valore per Owner saràCUSTOM_POLICY. Per le regole AWS Config personalizzate create con Lambda, il valore per Owner sarà. CUSTOM_LAMBDA
Modifica SOURCE_IDENTIFIER sul valore appropriato.

Nota
AWS Config Regole gestite
Per le regole AWS Config gestite, copia l'identificatore seguendo il collegamento dalla regola selezionata dall'elenco delle regole AWS Config gestite (ad esempio, l'identificatore di origine della access-keys-rotatedregola è ACCESS_KEYS_ROTATED). 
AWS Config Regole personalizzate
Per le regole AWS Config personalizzate create con Lambda, SourceIdentifier è l'Amazon Resource Name (ARN) della AWS Lambda funzione della regola, ad esempio. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Per le regole AWS Config personalizzate create con Guard, questo campo non è necessario.

Nel complesso, il pacchetto di conformità personalizzato compilato dovrebbe iniziare ad assomigliare al seguente, che è un esempio di utilizzo delle seguenti AWS Config Managed Rules: iam-password-policy, access-keys-rotatede -check. iam-user-unused-credentials


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modelli di esempio con azione di correzione

Implementazione dei Conformance Pack