Erstellen von Vorlagen für benutzerdefinierte Conformance Packs für AWS Config - AWS Config
TerminologieAnpassen der Vorlage

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Vorlagen für benutzerdefinierte Conformance Packs für AWS Config

Ein benutzerdefiniertes Konformitätspaket ist eine einzigartige Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die Sie gemeinsam in einem Konto und einer AWS Region oder unternehmensweit einsetzen können. AWS Organizations

Wenn Sie ein benutzerdefiniertes Konformitätspaket erstellen möchten, folgen Sie den Schritten im Abschnitt Anpassen der Vorlage, um eine YAML-Datei zu erstellen, die die Liste der von AWS Config verwalteten Regeln oder der AWS Config -benutzerdefinierten Regeln enthält, mit denen Sie arbeiten möchten.

Terminologie

AWS Config Verwaltete Regeln sind vordefinierte Regeln, deren Eigentümer ist. AWS Config

AWS Config Benutzerdefinierte Regeln sind Regeln, die Sie von Grund auf neu erstellen.

Es gibt zwei Möglichkeiten, AWS Config benutzerdefinierte Regeln zu erstellen: mit Lambda-Funktionen (AWS Lambda Developer Guide) und mit Guard (Guard GitHub Repository), einer policy-as-code Sprache. AWS Config Benutzerdefinierte Regeln, die mit erstellt wurden, AWS Lambda werden als AWS Config benutzerdefinierte Lambda-Regeln bezeichnet, und AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, werden als AWS Config benutzerdefinierte Richtlinienregeln bezeichnet.

Anpassen der Vorlage

Erstellen einer YAML-Datei

Zum Erstellen einer YAML-Datei öffnen Sie einen Texteditor und speichern Sie die Datei als .yaml.

Anmerkung

Ihre Datei wird einen Abschnitt Parameter und einen Abschnitt Ressourcen enthalten.

Parameter

Der Parameters Abschnitt in Ihrer YAML-Datei enthält die Regelparameter für den AWS Config Regelsatz, den Sie später in dem Resources Abschnitt hinzufügen werden. Erstellen Sie den Abschnitt Parameters, indem Sie den folgenden Code-Block kopieren und in Ihre YAML-Datei einfügen, ihn nach Bedarf anpassen und den Schritt für jeden Regelparameter wiederholen.

Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Zum Beispiel:

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
Anmerkung

Vergewissern Sie sich bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Konformitätspakets, dass Sie die Ressourcen in Ihrem Konto bereitgestellt haben, die anhand der Regeln bewertet werden. AWS Config

  1. Die erste Zeile im Parameterabschnitt danach Parameters: ist eine verkettete Zeichenfolge aus + Param +. NameOfRule NameOfRuleParameter

    1. Ersetzen Sie NameOfRule durch einen einheitlichen Namen, den Sie für die Regel erstellen. Das könnte zum Beispiel für die Regel sein. IamPasswordPolicyiam-password-policy

    2. Typ Param.

    3. Ersetzen Sie NameOfRuleParameter dann durch den Namen des Regelparameters für Ihre spezifische Regel. Bei AWS Config verwalteten Regeln befindet sich der Name des Regelparameters in der Liste der AWS Config verwalteten Regeln (MinimumPasswordLengthist z. B. der Name eines Regelparameters für die iam-password-policyRegel). Bei AWS Config -benutzerdefinierten Regeln entspricht der Name des Regelparameters dem Namen, den Sie bei der Erstellung der Regel ausgewählt haben.

  2. Wenn Sie eine AWS Config verwaltete Regel verwenden, suchen Sie die entsprechende AWS Config Regel in der Liste der verwalteten Regeln, damit Sie die akzeptierten Werte für Default und Type für Ihre spezielle Regel kennen. Verwenden Sie für AWS Config -benutzerdefinierte Regeln die Werte, die Sie bei der Erstellung Ihrer Regel ausgewählt haben.

    Anmerkung

    Für jeden Parameter Type muss angegeben werden. Typekann einer der folgenden Werte sein: „String“, „int“, „double“, „CSV“, „boolean“ und "StringMap“.

-Ressourcen

In Abschnitt Resources sind die Regeln aufgeführt, die Ihrem benutzerdefinierten Konformitätspaket hinzugefügt werden. Fügen Sie den folgenden Resources-Block direkt unter Ihrem Abschnitt Parameters hinzu, passen Sie ihn nach Bedarf an und wiederholen Sie den Schritt für jede Regel. Weitere Informationen zu den Spezifikationen finden Sie unter. AWS::Config::ConfigRule

Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: !Ref NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Zum Beispiel:

Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule
Anmerkung

Stellen Sie bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Conformance Packs sicher, dass Sie über die in Ihrem Konto bereitgestellten Ressourcen verfügen, die anhand der bereitgestellten AWS Config Regeln bewertet werden. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.

  1. Ersetzen Sie NameOfRule durch den Namen, den Sie im Abschnitt Parameters erstellt haben.

  2. Bei AWS Config verwalteten Regeln ActualConfigRuleName ersetzen Sie diese durch den Titel der entsprechenden Regelseite in der Liste der AWS Config verwalteten Regeln. Verwenden Sie für AWS Config benutzerdefinierte Regeln den Namen der Konfigurationsregel, den Sie bei der Erstellung der Regel ausgewählt haben.

  3. Ersetzen Sie NameOfRuleParameter durch den Namen, den Sie im Abschnitt Parameters verwendet haben. Kopieren Sie nach dem Doppelpunkt dieselbe verkettete Zeichenfolge mit + + Param !Ref NameOfRule +, die Sie im Abschnitt erstellt habenNameOfRuleParameter, und fügen Sie sie ein. Parameters

  4. Ändern Sie Owner in den entsprechenden Wert.

    Anmerkung

    AWS Config Verwaltete Regeln

    Für AWS Config verwaltete Regeln lautet der Wert für OwnerAWS.

    AWS Config Benutzerdefinierte Regeln

    Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, lautet der Wert für OwnerCUSTOM_POLICY. Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, lautet der Wert fürOwner. CUSTOM_LAMBDA

  5. Ändern Sie SOURCE_IDENTIFIER in den entsprechenden Wert.

    Anmerkung

    AWS Config Verwaltete Regeln

    Kopieren Sie bei AWS Config verwalteten Regeln den Bezeichner, indem Sie dem Link in der Regel folgen, die Sie in der Liste der AWS Config verwalteten Regeln ausgewählt haben (die Quell-ID für die access-keys-rotatedRegel lautet beispielsweise ACCESS_KEYS_ROTATED).


    AWS Config Benutzerdefinierte Regeln

    Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, SourceIdentifier ist dies der Amazon-Ressourcenname (ARN) der AWS Lambda Funktion der Regel, z. B. arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, ist dieses Feld nicht erforderlich.

Insgesamt sollte Ihr ausgefülltes benutzerdefiniertes Konformitätspaket wie folgt aussehen, das ein Beispiel für die Verwendung dieser AWS Config verwalteten Regeln ist: iam-password-policy, access-keys-rotated, und iam-user-unused-credentials-check.

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: !Ref AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: !Ref IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule