AWS Config 受管規則 - AWS Config

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Config 受管規則

AWS Config 提供AWS 受管規則,這些規則是預先定義的可自訂規則, AWS Config 用來評估您的 AWS 資源是否符合一般最佳作法。例如,您可以使用受管規則快速開始評估您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否加密,或特定標籤是否會套用到您的資源。主 AWS Config 控台會引導您完成設定和啟動受管規則的程序。您也可以使用 AWS Command Line Interface 或 AWS Config API 來傳遞定義受管規則組態的 JSON 程式碼。

您可以自訂受管規則的行為,以符合您的需求。例如,您可以定義規則的範圍,以限制要讓哪些資源 (EC2 執行個體或磁碟區等) 觸發規則的評估。您可以自訂規則的參數,以定義資源必須具備哪些屬性才能符合規則。例如,您可以自訂參數來指定安全群組應該封鎖特定連接埠號碼的傳入流量。

成本考量

如需與資源記錄相關聯的成本詳細資訊,請參閱AWS Config 定價

建議:在刪除規則之前停止記錄資源符合性

強烈建議您在刪除帳戶中的規則之前停止記錄AWS::Config::ResourceCompliance資源類型。刪除規則會建立組態項目 (CI),AWS::Config::ResourceCompliance且可能會影響您的 AWS Config 組態錄製程式成本。如果您要刪除評估大量資源類型的規則,這可能會導致記錄的 CI 數量激增。

最佳做法:

  1. 停止錄製 AWS::Config::ResourceCompliance

  2. 刪除規則

  3. 開啟錄影功能 AWS::Config::ResourceCompliance

觸發類型

將規則新增至帳戶後,請 AWS Config 將資源與規則條件進行比較。在此初始評估之後,每次觸發評估時都會 AWS Config 繼續執行評估。評估觸發程序被定義為規則的一部分,它們可以包括下列類型。

觸發類型 Description
組態變更 AWS Config 當有符合規則範圍的資源,且資源的組態發生變更時,會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。

您可以透過定義規則的範圍來選擇要進行評估的資源。範圍可包含下列項目:

  • 一或多個資源類型

  • 資源類型和資源 ID 的組合

  • 標籤鍵和值的組合

  • 當任何記錄的資源建立、更新或刪除時

AWS Config 當偵測到符合規則範圍的資源變更時,會執行評估。您可以使用範圍來定義要進行評估的資源。

定期 AWS Config 以您選擇的頻率執行規則的評估,例如,每 24 小時執行一次。
混合 部分規則同時具有組態變更和定期觸發條件。對於這些規則,請在偵測到組態變更時以及您指定的頻率 AWS Config 評估您的資源。

評估模式

AWS Config 規則有兩種評估模式。

評估模式 Description
主動

使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是 AWS 「非符合」(NON_COMPLIGENTING),考慮到您在「區域」中的帳戶中擁有的一組主動規則。

如需詳細資訊,請參閱《評估模式》。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。

偵測 使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。
注意

主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。