Componenti di una AWS Config regola - AWS Config
Come funzionano AWS Config le regoleTipi di triggerModalità di valutazioneMetadati delle regole

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Componenti di una AWS Config regola

AWS Config le regole valutano le impostazioni di configurazione AWS delle risorse. In questa pagina vengono descritti i componenti di una regola.

Come funzionano AWS Config le regole

AWS Config monitora continuamente le modifiche alla configurazione che si verificano tra le risorse e verifica se queste modifiche non sono conformi con le condizioni nelle regole. Se una risorsa non è conforme alla regola, AWS Config contrassegna la risorsa e la regola come non conformi.

Esistono quattro possibili risultati di valutazione per una regola. AWS Config

Risultato della valutazione Descrizione
COMPLIANT La regola supera le condizioni del controllo di conformità.
NON_COMPLIANT La regola non soddisfa le condizioni del controllo di conformità.
ERROR Uno dei parametri richiesti/facoltativi non è valido, non è del tipo corretto o è formattato in modo errato.
NOT_APPLICABLE Utilizzato per filtrare le risorse a cui non può essere applicata la logica della regola. Ad esempio, la alb-desync-mode-checkregola controlla solo gli Application Load Balancer e ignora i Network Load Balancer e i Gateway Load Balancer.

Ad esempio, quando viene creato un EC2 volume, è AWS Config possibile valutarlo in base a una regola che richiede la crittografia dei volumi. Se il volume non è crittografato, AWS Config contrassegna il volume e la regola come non conformi. AWS Config puoi anche controllare tutte le tue risorse per verificare i requisiti a livello di account. Ad esempio, AWS Config può verificare se il numero di EC2 volumi di un account rientra nel totale desiderato o se un account lo utilizza AWS CloudTrail per la registrazione.

Tipi di trigger

Dopo aver aggiunto una regola al tuo account, AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire le valutazioni ogni volta che ne viene attivata una. I trigger di valutazione sono definiti come parte della regola e possono includere i seguenti tipi.

Tipo di trigger Descrizione
Modifiche di configurazione AWS Config esegue le valutazioni della regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo l' AWS Config invio di una notifica di modifica dell'elemento di configurazione.

Puoi scegliere le risorse che avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:

  • Uno o più tipi di risorse

  • Una combinazione di un tipo di risorsa e un ID risorsa

  • Una combinazione di una chiave e un valore di un tag

  • Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata

AWS Config esegue la valutazione quando rileva una modifica a una risorsa che corrisponde all'ambito della regola. Puoi utilizzare l'ambito per definire le risorse che avviano le valutazioni.
Periodic (Periodico) AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente, ad esempio ogni 24 ore.
Ibrido Alcune regole prevedono sia trigger legati alle modifiche alla configurazione che trigger periodici. Per queste regole, AWS Config valuta le risorse quando rileva una modifica della configurazione e anche alla frequenza specificata dall'utente.

Modalità di valutazione

Esistono due modalità di valutazione delle AWS Config regole.

Modalità di valutazione Descrizione
Proattiva

Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà della risorsa, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON CONFORME, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.
Test Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.
Nota

Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.

Per ulteriori informazioni, consulta Attivazione della valutazione proattiva delle regole. AWS Config

Elenco di regole gestite con valutazione proattiva

Per un elenco delle regole gestite che supportano la valutazione proattiva, vedi Elenco delle regole AWS Config gestite per modalità di valutazione.

Elenco dei tipi di risorse supportati per la valutazione proattiva

Di seguito è riportato un elenco dei tipi di risorse supportati per la valutazione proattiva:

  • AWS::AutoScaling::AutoScalingGroup

  • AWS::EC2::EIP

  • AWS::Elasticsearch::Domain

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

AWS Config Metadati delle regole

AWS Config le regole possono contenere i seguenti metadati mutabili:

defaultName

Il nome predefinito (defaultName) è il nome che le istanze di una regola ricevono per impostazione predefinita.

description

La descrizione (description) della regola fornisce un contesto per ciò che la regola valuta. La console AWS Config ha un limite di 256 caratteri. Come best practice, la descrizione della regola deve iniziare con "Verifica se" e deve includere una descrizione dello scenario NON_COMPLIANT. I nomi dei servizi devono essere scritti per intero iniziando con AWS o Amazon quando vengono menzionati per la prima volta nella descrizione della regola. Ad esempio, AWS CloudTrail o Amazon CloudWatch al posto CloudTrail o CloudWatch per il primo utilizzo. I nomi dei servizi possono essere abbreviati in seguito per riferimento successivo.

scope

L'ambito (scope) determina i tipi di risorsa a cui si rivolge la regola. Per un elenco di tipi di risorsa supportati, consulta Tipi di risorsa supportati.

compulsoryInputParameterDettagli

I compulsoryInputParameter dettagli vengono utilizzati per i parametri necessari per la valutazione di una regola. Ad esempio, la regola gestita access-keys-rotated include maxAccessKeyAge come parametro obbligatorio. Se un parametro è obbligatorio, non viene contrassegnato come (opzionale). Per ogni parametro, è necessario specificare un tipo. Il tipo può essere uno tra «String», «int», «double», «CSV», «boolean» e "». StringMap

optionalInputParameterDettagli

I optionalInputParameter Dettagli vengono utilizzati per i parametri che sono facoltativi per la valutazione di una regola. Ad esempio, la regola gestita da elasticsearch-logs-to-cloudwatch include logTypes come parametro opzionale. Per ogni parametro, è necessario specificare un tipo. Il tipo può essere uno tra «String», «int», «double», «CSV», «boolean» e "». StringMap

supportedEvaluationModes

supportedEvaluationModes Determina quando le risorse verranno valutate, prima che una risorsa sia stata distribuita o dopo la distribuzione di una risorsa.

DETECTIVE è utilizzato per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti. PROACTIVE viene utilizzato per valutare le risorse prima che vengano implementate.

Ciò consente di valutare se un insieme di proprietà delle risorse, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON_COMPLIANT, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.

È possibile specificare a, o entrambi e supportedEvaluationModes . DETECTIVE PROACTIVE DETECTIVE PROACTIVE È necessario specificare una modalità di valutazione e questo campo non può rimanere vuoto.

Nota

Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.