本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Config 在一致性包中进行流程检查 AWS Config
流程检查是一种 AWS Config 规则,允许您跟踪需要作为一致性包一部分进行验证的外部和内部任务。可以将这些检查添加到现有合规包或新的合规包中。您可以在一个位置跟踪所有合规性,包括 AWS Config持续时间和手动检查。
通过流程检查,您可以在单个位置列出要求和操作的合规性。这些流程检查有助于扩大基于合规制度的合规包的覆盖范围。您可以通过添加新的流程检查来进一步扩展合规包,以跟踪需要手动验证和跟踪的流程和操作。这使合规包能够成为提供有关 AWS Config合规制度持续时间和手动流程的详细信息的模板。
您可以将合规包中与资源配置更改无关的流程的合规性作为流程检查进行跟踪和管理。例如,您可以添加流程检查来跟踪将媒体备份存储在异地位置的 PCI-DSS 合规性要求。您将根据 PCI-DSS 指南或贵组织的指导手动评估其合规性。
**地区可用性**:在所有提供一致性包 AWS 区域 的地方,都可以使用 AWS Config 一致性包进行流程检查。有关更多信息,请参阅 [区域支持](conformance-packs.md#conformance-packs-regions)。
**Topics**
+ [示例模板](Sample-CPack-Template-for-Creating-Process-Check-Rule.md)
+ [创建流程检查](How-to-create-a-Process-Check-Rule.md)
+ [更改合规性状态](change-compliance-status.md)
+ [查看和编辑](view-a-process-check-console.md)
# 用于创建流程检查的样本合规包模板
```
################################################################################
#
# Conformance Pack template for process check
#
################################################################################
Resources:
AWSConfigProcessCheck:
Properties:
ConfigRuleName: RuleName
Description: Description of Rule
Source:
Owner: AWS
SourceIdentifier: AWS_CONFIG_PROCESS_CHECK
Type: AWS::Config::ConfigRule
```
查看两个示例模板,即[CIS AWS 基金会运营最佳实践基准 v1.4 第 1 级](operational-best-practices-for-cis_aws_benchmark_level_1.md)模板和[CIS AWS 基金会运营最佳实践基准 v1.4 第 2 级](operational-best-practices-for-cis_aws_benchmark_level_2.md)模板。
# 在合规包中包括流程检查
1. 在合规包模板中添加流程检查。请参考[用于创建流程检查的样本合规包模板](Sample-CPack-Template-for-Creating-Process-Check-Rule.md)。
```
Resources:
ConfigEnabledAllRegions:
Properties:
ConfigRuleName: Config-Enabled-All-Regions
Description: Ensure AWS Config is enabled in all Regions.
Source:
Owner: AWS
SourceIdentifier: AWS_CONFIG_PROCESS_CHECK
Type: AWS::Config::ConfigRule
```
1. 输入流程检查的名称。
1. 输入流程检查的描述。
1. 部署合规包 有关更多信息,请参阅 [部署 AWS Config 合规包](conformance-pack-deploy.md)
# 更改流程检查的合规性状态
您可以使用 AWS Config 控制台、和,更改流程检查的合规性状态 APIs。 AWS CLI
------
#### [ Change Compliance Status for Process Checks (Console) ]
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 导航到 “ AWS Config 规则” 页面。
1. 选择您在模板中指定的流程检查的名称,以及合规包中的标识符。
**注意**
来自同一个合规包的所有流程检查都有相同的后缀。
1. 在规则详细信息页面上,您无法编辑规则,但可以编辑规则的合规性。在“手动合规性”部分中,选择**编辑合规性**。
1. 从下拉列表中选择相应的合规性。
1. (可选)输入合规性状态的描述。
1. 选择**保存**。
------
#### [ Change the Compliance Status for Process Checks (AWS CLI) ]
您可以使用 AWS Command Line Interface (AWS CLI) 更新一致性包中流程检查的合规性。
要在本地计算机 AWS CLI 上安装,请参阅[《*AWS CLI 用户指南*》 AWS CLI中的安装](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)。
如有必要`AWS Config ure`,键入 AWS CLI 将配置为使用提供 AWS Config 一致性包的 AWS 区域。
1. 打开命令提示符或终端窗口。
1. 输入以下命令以更新流程检查的合规性,其中 `ComplianceResourceId` 是您的,`Account ID`并包括您的规则名称。
```
aws configservice put-external-evaluation --config-rule-name process-check-rule-name --external-evaluation ComplianceResourceType=AWS::::Account,ComplianceResourceId=Account ID,ComplianceType=NON_COMPLIANT,OrderingTimestamp=2020-12-17T00:10:00.000Z
```
1. 按 Enter 键运行命令。
------
#### [ Change the Compliance Status for Process Checks (API) ]
部署完成后,要更新流程检查的评估和合规性,请使用 `PutExternalEvaluation` API。有关更多信息,请参阅 [PutExternalEvaluation](https://docs.aws.amazon.com/config/latest/APIReference/API_PutExternalEvaluation.html)。
------
# 查看和编辑流程检查(控制台)
只有在流程检查中添加了合规性状态后,您才能查看流程检查。选择具体的合规包以查看该合规包中的所有流程检查。在这里,您可以看到处于合规和不合规状态的流程检查列表。
由于这是一项服务相关规则,因此您无法通过规则详细信息页面编辑流程检查。
**注意**
但是,您可以通过选择**编辑合规性**,然后从“合规”、“不合规”或“不适用”中选择适当值来更新流程检查的合规性。
您可以在添加流程检查的合规包中编辑或从中删除流程检查。