AWS Config 自訂規則

AWS Config 自訂規則是您從頭開始建立的規則。建立 AWS Config 自訂規則的方法有兩種：使用 Lambda 函數 (AWS Lambda 開發人員指南)，以及使用 Guard (安全防護 GitHub儲存庫) (一種 policy-as-code 語言)。

AWS Config 使用 Lambda 建立的自訂規則稱為AWS Config 自訂 Lambda 規則，而 AWS Config 使用防護建立的自訂規則稱為AWS Config 自訂原則規則。

AWS Config 自訂原則規則

使用安全警衛撰寫的規則可以從 AWS Config 主控台或使用 AWS Config 規則 API 建立。 AWS Config 自訂原則規則可讓您建立 AWS Config 自訂規則，而不需要使用 Java 或 Python 來開發 Lambda 函數來管理您的自訂規則。 AWS Config 自訂原則規則是由組態變更所啟動。如需有關安全警衛的詳細資訊，請參閱守門員 GitHub儲存庫

AWS Config 自訂 Lambda 規則

自訂 Lambda 規則可讓您選擇使用 Java 或 Python 為 AWS Config 自訂規則建立 Lambda 函數。Lambda 函數是您上傳的自訂程式碼 AWS Lambda，而且會由事件來源發佈至該函數的事件叫用。如果 Lambda 函數與規則相關聯， AWS Config 則會在規則啟動時 AWS Config 呼叫該函數。然後，Lambda 函數會評估傳送的組態資訊 AWS Config，並傳回評估結果。如需 Lambda 函數的詳細資訊，請參閱《AWS Lambda 開發人員指南》中的函數和事件來源一節。

成本考量

如需與資源記錄相關聯的成本詳細資訊，請參閱AWS Config 定價。

建議：新增邏輯以處理自訂 lambda 規則的已刪除資源評估

建立 AWS Config 自訂 lambda 規則時，強烈建議您新增邏輯來處理已刪除資源的評估。

當評估結果標記為 NOT_APPLICABLE 時，其會被標記以進行刪除和清理。如果評估結果未標記為 NOT_APPLICABLE，則直到刪除規則為止，其將保持不變，這可能會導致在刪除規則時，意外大量建立 AWS::Config::ResourceCompliance 的組態項目 (CI)。

如需如何設 AWS Config 定自訂 lambda 規則以傳回已刪除資源的相NOT_APPLICABLE關資訊，請參閱使用 AWS Config 自訂 lambda 規則管理已刪除的資源。

建議：提供自訂 lambda 規則範圍內的資源

AWS Config 如果規則的範圍不限於一或多個資源類型，則自訂 Lambda 規則可能會導致大量 Lambda 函數叫用。為了避免與您的帳戶相關聯的活動增加，強烈建議您為自訂 Lambda 規則提供範圍內的資源。如果未選取任何資源類型，則規則會針對帳戶中的所有資源叫用 Lambda 函數。

建議：在刪除規則之前停止記錄資源符合性

強烈建議您在刪除帳戶中的規則之前停止記錄AWS::Config::ResourceCompliance資源類型。刪除規則會建立 CI，AWS::Config::ResourceCompliance且可能會影響您的 AWS Config 組態記錄器成本。如果您要刪除評估大量資源類型的規則，這可能會導致記錄的 CI 數量激增。

最佳做法：

停止錄製 AWS::Config::ResourceCompliance
刪除規則
開啟錄影功能 AWS::Config::ResourceCompliance

觸發類型

將規則新增至帳戶後，請 AWS Config 將資源與規則條件進行比較。在此初始評估之後，每次觸發評估時都會 AWS Config 繼續執行評估。評估觸發程序被定義為規則的一部分，它們可以包括下列類型。

觸發類型	Description
組態變更	AWS Config 當有符合規則範圍的資源，且資源的組態發生變更時，會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。您可以透過定義規則的範圍來選擇要進行評估的資源。範圍可包含下列項目：一或多個資源類型資源類型和資源 ID 的組合標籤鍵和值的組合當任何記錄的資源建立、更新或刪除時 AWS Config 當偵測到符合規則範圍的資源變更時，會執行評估。您可以使用範圍來定義要進行評估的資源。
定期	AWS Config 以您選擇的頻率執行規則的評估，例如，每 24 小時執行一次。
混合	部分規則同時具有組態變更和定期觸發條件。對於這些規則，請在偵測到組態變更時以及您指定的頻率 AWS Config 評估您的資源。

觸發類型

Description

組態變更

AWS Config 當有符合規則範圍的資源，且資源的組態發生變更時，會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。

您可以透過定義規則的範圍來選擇要進行評估的資源。範圍可包含下列項目：

一或多個資源類型
資源類型和資源 ID 的組合
標籤鍵和值的組合
當任何記錄的資源建立、更新或刪除時

AWS Config 當偵測到符合規則範圍的資源變更時，會執行評估。您可以使用範圍來定義要進行評估的資源。

定期

AWS Config 以您選擇的頻率執行規則的評估，例如，每 24 小時執行一次。

混合

部分規則同時具有組態變更和定期觸發條件。對於這些規則，請在偵測到組態變更時以及您指定的頻率 AWS Config 評估您的資源。

評估模式

AWS Config 規則有兩種評估模式。

評估模式	Description
主動	使用主動評估，在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING)，考慮到您在「區域」中的帳戶中擁有的一組主動規則。如需詳細資訊，請參閱《評估模式》。如需支援主動評估的受管規則清單，請參閱按評估模式分類的 AWS Config 受管規則清單。
偵測	使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。

評估模式

Description

主動

使用主動評估，在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING)，考慮到您在「區域」中的帳戶中擁有的一組主動規則。

如需詳細資訊，請參閱《評估模式》。如需支援主動評估的受管規則清單，請參閱按評估模式分類的 AWS Config 受管規則清單。

偵測

使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。

注意

主動規則不會修復標記為「NON_COMPLIANT」的資源，也不會防止部署這些資源。

主題

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用AWS CloudFormation範本建立受管規則

建立自訂政策規則