本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `PutConfigRule`与 AWS SDK 或 CLI 配合使用 以下代码示例演示如何使用 `PutConfigRule`。 ------ #### [ CLI ] **AWS CLI** **添加 AWS 托管 Config 规则** 以下命令提供用于添加 AWS 托管 Config 规则的 JSON 代码: ``` aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json ``` `RequiredTagsForEC2Instances.json` 是一个包含规则配置的 JSON 文件: ``` { "ConfigRuleName": "RequiredTagsForEC2Instances", "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "AWS", "SourceIdentifier": "REQUIRED_TAGS" }, "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}" } ``` 对于该`ComplianceResourceTypes`属性,此 JSON 代码将范围限制为该`AWS::EC2::Instance`类型的资源,因此 AWS Config 将仅根据规则评估 EC2 实例。由于该规则是托管规则,因此 `Owner` 属性设置为,`AWS``SourceIdentifier` 属性设置为规则标识符。`REQUIRED_TAGS`对于 `InputParameters` 属性,指定了规则所需的标签键 `CostCenter` 和 `Owner`。 如果命令成功, AWS Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules命令并指定规则名称。 **添加客户托管的 Config 规则** 以下命令提供用于添加客户托管 Config 规则的 JSON 代码: ``` aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json ``` `InstanceTypesAreT2micro.json` 是一个包含规则配置的 JSON 文件: ``` { "ConfigRuleName": "InstanceTypesAreT2micro", "Description": "Evaluates whether EC2 instances are the t2.micro type.", "Scope": { "ComplianceResourceTypes": [ "AWS::EC2::Instance" ] }, "Source": { "Owner": "CUSTOM_LAMBDA", "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck", "SourceDetails": [ { "EventSource": "aws.config", "MessageType": "ConfigurationItemChangeNotification" } ] }, "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}" } ``` 对于该`ComplianceResourceTypes`属性,此 JSON 代码将范围限制为该`AWS::EC2::Instance`类型的资源,因此 AWS Config 将仅根据规则评估 EC2 实例。由于此规则是客户托管规则,因此该`Owner`属性设置为`CUSTOM_LAMBDA`,并且该`SourceIdentifier`属性设置为 Lambda 函数 AWS 的 ARN。`SourceDetails` 对象为必填项。当 Confi AWS g 调用 AWS Lambda 函数根据规则评估资源时,为该`InputParameters`属性指定的参数将传递给 Lambda 函数。 如果命令成功, AWS Config 将不返回任何输出。要验证规则配置,请运行 describe-config-rules命令并指定规则名称。 + 有关 API 的详细信息,请参阅*AWS CLI 命令参考[PutConfigRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/put-config-rule.html)*中的。 ------ #### [ Python ] **适用于 Python 的 SDK(Boto3)** 还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/config#code-examples)中查找完整示例,了解如何进行设置和运行。 ``` class ConfigWrapper: """ Encapsulates AWS Config functions. """ def __init__(self, config_client): """ :param config_client: A Boto3 AWS Config client. """ self.config_client = config_client def put_config_rule(self, rule_name): """ Sets a configuration rule that prohibits making Amazon S3 buckets publicly readable. :param rule_name: The name to give the rule. """ try: self.config_client.put_config_rule( ConfigRule={ "ConfigRuleName": rule_name, "Description": "S3 Public Read Prohibited Bucket Rule", "Scope": { "ComplianceResourceTypes": [ "AWS::S3::Bucket", ], }, "Source": { "Owner": "AWS", "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED", }, "InputParameters": "{}", "ConfigRuleState": "ACTIVE", } ) logger.info("Created configuration rule %s.", rule_name) except ClientError: logger.exception("Couldn't create configuration rule %s.", rule_name) raise ``` + 有关 API 的详细信息,请参阅适用[PutConfigRule](https://docs.aws.amazon.com/goto/boto3/config-2014-11-12/PutConfigRule)于 *Python 的AWS SDK (Boto3) API 参考*。 ------ #### [ SAP ABAP ] **适用于 SAP ABAP 的 SDK** 还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/cfs#code-examples)中查找完整示例,了解如何进行设置和运行。 ``` " Create a config rule for S3 bucket public read prohibition lo_cfs->putconfigrule( io_configrule = NEW /aws1/cl_cfsconfigrule( iv_configrulename = iv_rule_name iv_description = |S3 Public Read Prohibited Bucket Rule| io_scope = NEW /aws1/cl_cfsscope( it_complianceresourcetypes = VALUE /aws1/cl_cfscplncresrctypes_w=>tt_complianceresourcetypes( ( NEW /aws1/cl_cfscplncresrctypes_w( |AWS::S3::Bucket| ) ) ) ) io_source = NEW /aws1/cl_cfssource( iv_owner = |AWS| iv_sourceidentifier = |S3_BUCKET_PUBLIC_READ_PROHIBITED| ) iv_inputparameters = '{}' iv_configrulestate = |ACTIVE| ) ). MESSAGE 'Created AWS Config rule.' TYPE 'I'. ``` + 有关 API 的详细信息,请参阅适用[PutConfigRule](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)于 S *AP 的AWS SDK ABAP API 参考*。 ------ 有关 S AWS DK 开发者指南和代码示例的完整列表,请参阅[AWS Config与AWS SDK 一起使用](sdk-general-information-section.md)。本主题还包括有关入门的信息以及有关先前的 SDK 版本的详细信息。