本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Config 規則評估資源
使用 AWS Config 評估 AWS 資源的組態設定。您可以透過建立規則來執行此操作,這些 AWS Config 規則代表您的理想組態設定。 AWS Config 提供稱為 受管規則的可自訂預先定義規則,以協助您開始使用。
AWS Config 規則的運作方式
當 AWS Config 持續追蹤您資源中發生的組態變更時,其也會檢查這些變更是否未遵循您規則中的任何條件。如果資源不符合規則, 會將資源和規則 AWS Config 標記為不合規 。以下是 AWS Config 規則的可能評估結果:
-
COMPLIANT- 規則通過合規檢查的條件。 -
NON_COMPLIANT- 規則未通過合規檢查的條件。 -
ERROR- 其中一個必要/選用參數無效、類型不正確,或格式不正確。 -
NOT_APPLICABLE- 用於篩選出無法套用規則邏輯的資源。例如,alb-desync-mode-check規則只會檢查 Application Load Balancer,並忽略 Network Load Balancer 和 Gateway Load Balancer。
例如,建立EC2磁碟區時, AWS Config 可以根據需要加密磁碟區的規則來評估磁碟區。如果磁碟區未加密, 會將磁碟區和規則 AWS Config 標記為不合規。 AWS Config 也可以檢查您所有資源的整個帳戶需求。例如, AWS Config 可以檢查帳戶中的EC2磁碟區數量是否保持在所需的總計內,或帳戶是否 AWS CloudTrail 用於記錄。
服務連結規則
服務連結規則是一種獨特的受管規則類型,支援其他 AWS 服務在您的帳戶中建立 AWS Config 規則。這些規則預先定義為包含 AWS 代表您呼叫其他服務所需的所有許可。這些規則類似於 AWS 服務在 中建議的 AWS 帳戶 合規驗證標準。如需詳細資訊,請參閱服務連結規 AWS Config 則。
自訂規則
您也可以建立自訂規則來評估 AWS Config 尚未記錄的其他資源。如需詳細資訊,請參閱 AWS Config 自訂規則 和 評估其他資源類型。
檢視合規
AWS Config 主控台會顯示規則和資源的合規狀態。您可以查看 AWS 資源如何整體遵循所需的組態,並了解哪些特定資源不合規。您也可以使用 AWS Config API、 AWS CLI和 AWS SDKs 向 AWS Config 服務提出合規資訊的請求。
透過使用 AWS Config 評估資源組態,您可以評估資源組態符合內部實務、產業準則和法規的程度。
限制
如需每個帳戶和其他服務限制的每個區域的最大 AWS Config 規則數量,請參閱AWS Config 服務限制 。
成本考量
如需與資源記錄相關聯的成本詳細資訊,請參閱AWS Config 定價
建議:在刪除規則之前停止記錄資源合規
強烈建議您在刪除帳戶中的規則之前停止錄製AWS::Config::ResourceCompliance資源類型。刪除規則會為 和 建立組態項目 (CIs)AWS::Config::ResourceCompliance,可能會影響您的 AWS Config 組態記錄器成本。如果您要刪除評估大量資源類型的規則,這可能會導致CIs記錄數量激增。
最佳實務:
停止錄製
AWS::Config::ResourceCompliance刪除規則 (s)
開啟 的錄製
AWS::Config::ResourceCompliance
建議:新增邏輯來處理自訂 lambda 規則的已刪除資源評估
建立 AWS Config 自訂 lambda 規則時,強烈建議您新增邏輯來處理已刪除資源的評估。
當評估結果標記為 NOT_APPLICABLE 時,其會被標記以進行刪除和清理。如果將其NOT標記為 NOT_APPLICABLE,則評估結果將保持不變,直到刪除規則為止,這可能會導致在刪除規則AWS::Config::ResourceCompliance時建立 CIs 的 發生意外尖峰。
如需如何設定 AWS Config 自訂 lambda 規則以NOT_APPLICABLE針對已刪除的資源傳回的資訊,請參閱使用 AWS Config 自訂 lambda 規則管理已刪除的資源。
建議:提供自訂 lambda 規則範圍內的資源
AWS Config 如果規則的範圍不限於一或多個資源類型,則自訂 Lambda 規則可能會導致大量 Lambda 函數叫用。為了避免增加與帳戶相關的活動,強烈建議為自訂 Lambda 規則提供範圍內的資源。如果未選取任何資源類型,則規則會針對帳戶中的所有資源叫用 Lambda 函數。
區域支援
目前,下列 AWS 區域支援 AWS Config 規則功能。如需哪些 AWS Config 區域支援個別規則的清單,請參閱依區域可用性的 AWS Config 受管規則清單。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 美國西部 (奧勒岡) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| 非洲 (開普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亞太區域 (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亞太區域 (海德拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (馬來西亞) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部 (卡加利) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (米蘭) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 歐洲 (蘇黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列 (特拉維夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
下列 區域支援在 AWS 組織中的成員帳戶之間部署 AWS Config 規則。
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美國西部 (奧勒岡) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲 (開普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亞太區域 (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亞太區域 (海德拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部 (卡加利) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (米蘭) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 歐洲 (蘇黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列 (特拉維夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
