Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Config Verwaltete Regeln
AWS Config stellt AWS verwaltete Regeln bereit. Dabei handelt es sich um vordefinierte, anpassbare Regeln, AWS Config anhand derer bewertet wird, ob Ihre AWS Ressourcen den gängigen bewährten Methoden entsprechen. Sie könnten beispielsweise eine verwaltete Regel verwenden, um schnell zu beurteilen, ob Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes verschlüsselt sind oder ob bestimmte Tags auf Ihre Ressourcen angewendet wurden. Die AWS Config Konsole führt Sie durch den Prozess der Konfiguration und Aktivierung einer verwalteten Regel. Sie können auch das AWS Command Line Interface oder verwenden AWS Config API, um den JSON Code zu übergeben, der Ihre Konfiguration einer verwalteten Regel definiert.
Sie können das Verhalten einer verwalteten Regel Ihren Anforderungen entsprechend anpassen. Sie können beispielsweise den Geltungsbereich der Regel definieren, um einzuschränken, welche Ressourcen eine Evaluierung der Regel auslösen, z. B. EC2 Instanzen oder Volumes. Sie können die Regelparameter anpassen, um die Attribute zu definieren, über die Ihre Ressourcen verfügen müssen, damit sie regelkonform sind. Sie können beispielsweise einen Parameter anpassen, um anzugeben, dass eingehender Datenverkehr zu einem bestimmten Port von Ihrer Sicherheitsgruppe blockiert wird.
Überlegungen
Standardwerte für verwaltete Regeln
Die für verwaltete Regeln angegebenen Standardwerte sind nur bei Verwendung der AWS Konsole vorab ausgefüllt. Für, oder SDK sind keine Standardwerte angegeben. API CLI
Verzögerungen bei der Aufzeichnung des Konfigurationselements
AWS Config In der Regel werden Konfigurationsänderungen an Ihren Ressourcen unmittelbar nach dem Erkennen einer Änderung oder in der von Ihnen angegebenen Häufigkeit aufgezeichnet. Dies erfolgt jedoch nach bestem Wissen und kann manchmal länger dauern. Zu den Ressourcentypen mit bekannten Verzögerungen gehören: AWS::SecretsManager::Secret undAWS::SQS::Queue. Bei diesen Ressourcentypen handelt es sich um Beispiele, und diese Liste erhebt keinen Anspruch auf Vollständigkeit.
Richtlinien und Ergebnisse zur Einhaltung von Vorschriften
IAMRichtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können AWS Config sich darauf auswirken, ob Sie berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.
Directory-Buckets werden nicht unterstützt
Verwaltete Regeln unterstützen nur allgemeine Buckets bei der Bewertung von Amazon Simple Storage Service (Amazon S3) -Ressourcen. AWS Config zeichnet keine Konfigurationsänderungen für Verzeichnis-Buckets auf. Weitere Informationen zu Allzweck-Buckets und Verzeichnis-Buckets finden Sie unter Buckets-Übersicht und Verzeichnis-Buckets im Amazon-S3-Benutzerhandbuch.
Verwaltete Regeln und globale IAM Ressourcentypen
Die globalen IAM Ressourcentypen, die vor Februar 2022 eingeführt wurden (AWS::IAM::Group,AWS::IAM::Policy, undAWS::IAM::User)AWS::IAM::Role, können nur AWS Config in AWS Regionen erfasst werden, in denen sie vor Februar 2022 verfügbar AWS Config waren. Diese Ressourcentypen können nicht in Regionen erfasst werden, die AWS Config nach Februar 2022 unterstützt werden. Eine Liste dieser Regionen finden Sie unter AWS Aufzeichnungsressourcen | Globale Ressourcen.
Wenn Sie einen globalen IAM Ressourcentyp in mindestens einer Region erfassen, führen periodische Regeln, die die Einhaltung des globalen IAM Ressourcentyps melden, Bewertungen in allen Regionen durch, in denen die periodische Regel hinzugefügt wurde, auch wenn Sie die Aufzeichnung des globalen IAM Ressourcentyps in der Region, in der die periodische Regel hinzugefügt wurde, nicht aktiviert haben.
Um unnötige Bewertungen zu vermeiden, sollten Sie regelmäßige Regeln nur für eine der unterstützten Regionen bereitstellen, nach denen die Einhaltung der Vorschriften für einen globalen IAM Ressourcentyp gemeldet wird. Eine Liste der verwalteten Regeln, die in welchen Regionen unterstützt werden, finden Sie unter Liste der AWS Config verwalteten Regeln nach Verfügbarkeit in Regionen.
Auslösertypen
Nachdem Sie Ihrem Konto eine Regel hinzugefügt haben, werden Ihre Ressourcen mit den Bedingungen der Regel AWS Config verglichen. Nach dieser ersten Evaluierung werden die Evaluierungen jedes Mal, wenn eine ausgelöst wird, AWS Config fortgesetzt. Die Evaluierungsauslöser sind als Teil der Regel definiert und können die folgenden Typen beinhalten.
| Typ des Auslösers | Beschreibung |
|---|---|
| Konfigurationsänderungen | AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde. Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein:
AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen. |
| Regelmäßig | AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden. |
| Hybrid | Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit. |
Evaluierungsmodi
Es gibt zwei Bewertungsmodi für AWS Config Regeln.
| Bewertungsmodus | Beschreibung |
|---|---|
| Proaktiv | Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie beurteilen, ob eine Reihe von Ressourceneigenschaften, wenn sie zur Definition einer AWS Ressource verwendet würden, COMPLIANT angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, den Wert COMPLIANT oder NON _ erfüllen würde. Weitere Informationen finden Sie unter Auswertungsmodi. Eine Liste der verwalteten Regeln, die die proaktive Bewertung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus. |
| Detektivisch | Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten. |
Anmerkung
Proaktive Regeln korrigieren keine Ressourcen, die als NON _ COMPLIANT gekennzeichnet sind, und verhindern auch nicht, dass sie bereitgestellt werden.
Themen
- Liste der AWS Config verwalteten Regeln
- Liste der AWS Config verwalteten Regeln nach Testmodus
- Liste der AWS Config verwalteten Regeln nach Triggertyp
- Liste der AWS Config verwalteten Regeln nach Regionen und Verfügbarkeit
- Serviceverknüpfte Regeln AWS Config
- Erstellen von verwalteten AWS Config-Regeln mit AWS CloudFormation-Vorlagen
