Avaliando seus recursos com regras AWS Config - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliando seus recursos com regras AWS Config

Quando você cria regras personalizadas ou usa regras gerenciadas, AWS Config avalia seus recursos em relação a essas regras. Você pode executar avaliações sob demanda para recursos em relação às suas regras. Por exemplo, isso é útil quando você cria uma regra personalizada e deseja verificar se AWS Config está avaliando corretamente seus recursos ou identificar se há algum problema com a lógica de avaliação da sua AWS Lambda função.

Exemplo

  1. Você cria uma regra personalizada que avalia se os usuários do IAM; têm chaves de acesso ativas.

  2. AWS Config avalia seus recursos em relação à sua regra personalizada.

  3. Existe na sua conta um usuário do IAM; que não tem uma chave de acesso ativa. Sua regra não sinaliza corretamente esse recurso como NON_COMPLIANT.

  4. Você corrige a regra e inicia a avaliação novamente.

  5. Como você corrigiu a regra, ela avalia corretamente seus recursos e sinaliza o recurso de usuário do IAM; como NON_COMPLIANT.

Ao adicionar uma regra à sua conta, você pode especificar quando, no processo de criação e gerenciamento de recursos, você AWS Config deseja avaliar seus recursos. O processo de criação e gerenciamento de recursos é conhecido como provisionamento de recursos. Você escolhe o modo de avaliação para especificar quando, nesse processo, AWS Config deseja avaliar seus recursos.

Dependendo da regra, AWS Config você pode avaliar suas configurações de recursos antes de um recurso ser implantado, após a implantação de um recurso ou ambos. Avaliar um recurso antes que ele seja implantado é uma avaliação proativa. Avaliar um recurso após sua implantação é uma avaliação de detecção.

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um AWS recurso, seria COMPATÍVEL ou NÃO COMPATÍVEL, considerando o conjunto de regras proativas que você tem em sua conta na sua região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões AWS públicas" no AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para obter mais informações, consulte Gerenciamento de extensões por meio do AWS CloudFormation registro e da referência de tipos de AWS recursos e propriedades no Guia AWS CloudFormation do usuário.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Avaliar seus recursos

Para ativar a avaliação proativa

  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que ofereça suporte a AWS Config regras. Para obter a lista das regiões da AWS compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras). Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras AWS Config gerenciadas por modo de avaliação.

  4. Escolha uma regra e, em seguida, escolha Editar regra para a regra que você deseja atualizar.

  5. Para o Modo de avaliação, escolha Ativar a avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.

  6. Escolha Salvar.

nota

Você também pode ativar a avaliação proativa usando o put-config-rulecomando e habilitando PROACTIVE para EvaluationModes ou usando a PutConfigRuleação e habilitando PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar a StartResourceEvaluationAPI e a GetResourceEvaluationSummaryAPI para verificar se os recursos especificados nesses comandos seriam sinalizados como NÃO COMPATÍVEIS pelas regras proativas da sua conta na sua região.

Por exemplo, comece com a StartResourceEvaluation API:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a GetResourceEvaluationSummary API para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use a API. GetComplianceDetailsByResource

Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes.

Avaliar seus recursos (console)

  1. Faça login no AWS Management Console e abra o AWS Config console em https://console.aws.amazon.com/config/.

  2. No AWS Management Console menu, verifique se o seletor de região está definido como uma região que suporte AWS Config regras. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. No painel de navegação, escolha Rules. A página Regras mostra o nome, a ação de correção associada e o status de conformidade de cada regra.

  4. Escolha uma regra na tabela.

  5. Na lista suspensa Ações, escolha Reavaliar.

  6. AWS Config começa a avaliar os recursos de acordo com sua regra.

nota

Você pode reavaliar uma regra uma vez a cada minuto. Você deve aguardar AWS Config a conclusão da avaliação de sua regra antes de iniciar outra avaliação. Você não pode executar uma avaliação se, ao mesmo tempo, a regra estiver sendo atualizada ou se a regra for excluída.

Avaliar seus recursos (CLI)

  • Use o comando start-config-rules-evaluation:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config começa a avaliar as configurações de recursos registradas em relação à sua regra. Você também pode especificar várias regras em sua solicitação:

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

Avaliar seus recursos (API)

Use a ação StartConfigRulesEvaluation.