Criação de modelos para pacotes de conformidade personalizados

Um pacote de conformidade personalizado é uma coleção exclusiva de AWS Config regras e ações de remediação que você pode implantar juntas em uma conta e uma AWS região, ou em uma organização em. AWS Organizations

Para criar um pacote de conformidade personalizado, siga as etapas na seção Personalização do modelo a seguir para criar um arquivo YAML que contenha a lista de Regras gerenciadas do AWS Config ou Regras personalizadas do AWS Config com as quais você deseja trabalhar.

Terminologia

AWS Config As regras gerenciadas são regras predefinidas de propriedade AWS Config da.

AWS Config Regras personalizadas são regras que você cria do zero.

Há duas maneiras de criar regras AWS Config personalizadas: com as funções Lambda (Guia do AWS Lambda desenvolvedor) e com o Guard (Guard GitHub Repository), uma linguagem. policy-as-code AWS Config as regras personalizadas criadas com AWS Lambda são chamadas de Regras Lambda AWS Config Personalizadas e as regras AWS Config personalizadas criadas com o Guard são chamadas de Regras de Política AWS Config Personalizadas.

Personalizar o modelo

Criar seu arquivo YAML

Para criar um arquivo YAML, abra um editor de texto e salve o arquivo como .yaml.

nota

Seu arquivo conterá uma seção de Parâmetros e Recursos.

Parâmetros

A Parameters seção em seu arquivo YAML é para os parâmetros de regra do conjunto de AWS Config regras que você adicionará posteriormente na Resources seção. Crie a seção Parameters copiando e colando o seguinte bloco de código em seu arquivo YAML, personalizando-o conforme necessário e repetindo para cada parâmetro de regra.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Por exemplo: .


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

nota

Ao selecionar as AWS Config Regras para criar seu pacote de conformidade personalizado, verifique se você tem os recursos provisionados em sua conta que serão avaliados de acordo com as Regras. AWS Config

A primeira linha na seção de parâmetros depois Parameters: é uma string concatenada de NameOfRule+ Param +. NameOfRuleParameter
1. Substitua NameOfRule por um nome consistente criado por você para a regra. Por exemplo, isso pode ser IamPasswordPolicypara a iam-password-policy regra.
2. Digite Param.
3. Em seguida, substitua NameOfRuleParameter pelo nome do parâmetro da regra para sua regra específica. Para Regras AWS Config gerenciadas, o nome do parâmetro da regra está localizado na Lista de regras AWS Config gerenciadas (por exemplo, MinimumPasswordLengthé o nome de um parâmetro de regra para a iam-password-policyregra). Para regras do AWS Config personalizadas, o nome do parâmetro da regra é o nome que você escolheu ao criar a regra.
Se você estiver usando uma regra AWS Config gerenciada, encontre a AWS Config regra apropriada na lista de regras gerenciadas para saber os valores aceitos para Default e Type para sua regra específica. Para regras do AWS Config personalizadas, use os valores selecionados ao criar a regra.

nota
Para cada parâmetro, Type deve ser especificado. Typepode ser “String”, “int”, “double”, “CSV”, “boolean” e "StringMap”.

Recursos do

A seção Resources lista as regras que estão sendo adicionadas ao seu pacote de conformidade personalizado. Adicione o bloco Resources a seguir diretamente abaixo de sua seção Parameters, personalizando-o, conforme necessário, e repetindo para cada regra. Para obter mais informações sobre as especificações, consulte AWS::Config::ConfigRule.


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Por exemplo: .


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

nota

Ao selecionar as AWS Config regras para criar seu pacote de conformidade personalizado, verifique se você tem os recursos que serão avaliados para as AWS Config regras provisionadas em sua conta. Para obter mais informações, consulte Tipos de Recursos Compatíveis.

Substitua NameOfRule pelo mesmo nome que você criou na seção Parameters.
Para Regras AWS Config gerenciadas, ActualConfigRuleName substitua pelo título da página de regras apropriada na Lista de regras AWS Config gerenciadas. Para regras AWS Config personalizadas, use o nome da regra de configuração que você escolheu no momento da criação da regra.
Substitua NameOfRuleParameter pelo mesmo nome que você usou na seção Parameters. Depois dos dois pontos, copie e cole a mesma sequência concatenada de NameOfRule+ Param + NameOfRuleParameterque você criou na seção. Parameters
Altere o Owner para o valor apropriado.

nota
AWS Config Regras gerenciadas
Para regras AWS Config gerenciadas, o valor de Owner seráAWS.
AWS Config Regras personalizadas
Para regras AWS Config personalizadas criadas com o Guard, o valor de Owner seráCUSTOM_POLICY. Para regras AWS Config personalizadas criadas com o Lambda, o valor de Owner será. CUSTOM_LAMBDA
Altere o SOURCE_IDENTIFIER para o valor apropriado.

nota
AWS Config Regras gerenciadas
Para Regras AWS Config Gerenciadas, copie o identificador seguindo o link da regra selecionada na Lista de Regras AWS Config Gerenciadas (por exemplo, o identificador de origem da access-keys-rotatedregra é ACCESS_KEYS_ROTATED). 
AWS Config Regras personalizadas
Para regras AWS Config personalizadas criadas com o Lambda, SourceIdentifier é o Amazon Resource Name (ARN) da AWS Lambda função da regra, como. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Para regras AWS Config personalizadas criadas com o Guard, esse campo não é necessário.

No geral, seu pacote de conformidade personalizado preenchido deve começar a ter uma aparência semelhante ao seguinte, que é um exemplo usando essas regras AWS Config gerenciadas: iam-password-policyaccess-keys-rotated, e -check. iam-user-unused-credentials


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Modelos de exemplo com ação de correção

Implantando pacotes de conformidade