建立自訂一致性套件的範本 - AWS Config
術語自訂範本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立自訂一致性套件的範本

自訂一致性套件是 AWS Config 規則和修正動作的唯一集合,您可以在帳戶和 AWS 區域中一起部署,或在中的組織中部署。 AWS Organizations

若要製作自訂一致性套件,請遵循下列自訂範本一節中的步驟,撰寫您要使用的 YAML 檔案,其包含AWS Config 受管規則AWS Config 自訂規則清單。

術語

AWS Config 受管規則是擁有的預先定義規則 AWS Config。

AWS Config 自訂規則是您從頭開始建立的規則。

建立 AWS Config 自訂規則的方法有兩種:使用 Lambda 函數 (AWS Lambda 開發人員指南),以及使用 Guard (安全防護 GitHub儲存庫) (一種 policy-as-code 語言)。 AWS Config 使用建立的自訂規 AWS Lambda 則稱為AWS Config 自訂 Lambda 規則,而 AWS Config 使用安全警衛建立的自訂規則稱為AWS Config 自訂原則規則

自訂範本

建立您的 YAML 檔案

若要建立 YAML 檔案,請開啟文字編輯器,並將檔案儲存為 .yaml

注意

您的檔案將包含參數資源區段。

參數

YAML 檔案中的Parameters區段適用於您稍後將在Resources區段中新增之 AWS Config 規則集的規則參數。藉由將下列程式碼區塊複製並貼至 YAML 檔案中,並視需要進行自訂,且針對每個規則參數重複此步驟,即可建立 Parameters 區段。

Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

例如:

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
注意

選取要建立自訂一致性套件的 AWS Config 規則時,請檢查您的帳戶中是否已佈建要針對規則進行評估的 AWS Config 資源。

  1. 之後的參數部分的第一行Parameters:是 + 參數 NameOfRule+ 的連接字符串。NameOfRuleParameter

    1. 以您為規則建立的一致名稱取代 NameOfRule。例如,這可能是IamPasswordPolicy為了iam-password-policy 規則。

    2. 輸入 Param

    3. 然後,以指定規則的規則參數名稱取代 NameOfRuleParameter。對於 AWS Config 受管規則,規則參數的名稱位於AWS Config 受管規則清單中 (例如,MinimumPasswordLength是規則的規則參數名稱)。iam-password-policy若為 AWS Config 自訂規則,則規則參數名稱是您在建立規則時選擇的名稱。

  2. 如果您使用的是受 AWS Config 管規則,請在受管規 AWS Config 則清單中尋找適當的規則,以便瞭解特定規則Default和特定規則Type的接受值。若為 AWS Config 自訂規則,請使用您在建立規則時選取的值。

    注意

    Type必須為每個參數指定。 Type可以是「字符串」,「整數」,「雙」,「CSV」,「布爾」和「」StringMap 之一。

資源

Resources 區段會列出新增至「自訂一致性套件」的規則。直接在 Parameters 區段下方新增下列 Resources 區塊,並視需要進行自訂,且針對每個規則重複此步驟。如需規格的詳細資訊,請參閱AWS::Config::ConfigRule

Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

例如:

Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule
注意

選取要建立自訂一致性套件的 AWS Config 規則時,請檢查您是否具有針對帳戶中佈建的 AWS Config 規則進行評估的資源。如需詳細資訊,請參閱支援的資源類型

  1. 以您在 Parameters 區段中建立的相同名稱取代 NameOfRule

  2. 對於 AWS Config 受管規則,請ActualConfigRuleName以受AWS Config 管規則清單上適當規則頁面的標題取代。對於 AWS Config 自訂規則,請使用您在規則建立時選擇的 Config 規則名稱。

  3. 以您在 Parameters 區段中使用的相同名稱取代 NameOfRuleParameter。冒號後,複製並粘貼您在部分中創建的 NameOfRule+ 參數 + 相同的連接字符串。NameOfRuleParameterParameters

  4. Owner 變更為適當的值。

    注意

    AWS Config 受管規則

    對於 AWS Config 受管規則,的值Owner將為AWS

    AWS Config 自訂規則

    對於使用安全警衛建立的 AWS Config 自訂規則,的值Owner將為CUSTOM_POLICY。對於使用 Lambda 建立的 AWS Config 自訂規則,的值為OwnerCUSTOM_LAMBDA

  5. SOURCE_IDENTIFIER 變更為適當的值。

    注意

    AWS Config 受管規則

    針對 AWS Config 受管規則,請遵循您從「受AWS Config 管規則清單」中選取之規則的連結 (例如,規則的來源識別碼為 ACCESS_KEYS_SELE CTION),複製識別碼。access-keys-rotated

    AWS Config 自訂規則

    對於使用 Lambda 建立的 AWS Config 自訂規則,則SourceIdentifier是規則 AWS Lambda 函數的 Amazon 資源名稱 (ARN),例如arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName. 對於使用安全警衛建立的 AWS Config 自訂規則,不需要此欄位。

總之,您填寫的自訂一致性套件應該會開始看起來類似下列內容,這是使用這些 AWS Config 受管規則的範例:iam-password-policyaccess-keys-rotated、和 iam-user-unused-credentials-check。

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule