Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen von Vorlagen für benutzerdefinierte Conformance Packs für AWS Config
Ein benutzerdefiniertes Konformitätspaket ist eine einzigartige Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die Sie gemeinsam in einem Konto und einer AWS Region oder unternehmensweit einsetzen können. AWS Organizations
Wenn Sie ein benutzerdefiniertes Konformitätspaket erstellen möchten, folgen Sie den Schritten im Abschnitt **Anpassen der Vorlage**, um eine YAML-Datei zu erstellen, die die Liste der [von AWS Config verwalteten Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) oder der [AWS Config -benutzerdefinierten Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) enthält, mit denen Sie arbeiten möchten.
**Topics**
+ [Terminologie](#custom-conformance-pack-terminology)
+ [Anpassen der Vorlage](#create-yaml-file.title)
## Terminologie
*AWS Config Verwaltete Regeln* sind vordefinierte Regeln, deren Eigentümer ist. AWS Config
*AWS Config Benutzerdefinierte Regeln* sind Regeln, die Sie von Grund auf neu erstellen.
Es gibt zwei Möglichkeiten, AWS Config benutzerdefinierte Regeln zu erstellen: mit Lambda-Funktionen ([AWS Lambda Developer Guide](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function)) und mit Guard ([Guard GitHub Repository](https://github.com/aws-cloudformation/cloudformation-guard)), einer policy-as-code Sprache. AWS Config Benutzerdefinierte Regeln, die mit erstellt wurden, AWS Lambda werden als *AWS Config benutzerdefinierte Lambda-Regeln* bezeichnet, und AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, werden als *AWS Config benutzerdefinierte Richtlinienregeln* bezeichnet.
## Anpassen der Vorlage
**Erstellen einer YAML-Datei**
Zum Erstellen einer YAML-Datei öffnen Sie einen Texteditor und speichern Sie die Datei als *.yaml*.
**Anmerkung**
Ihre Datei wird einen Abschnitt **Parameter** und einen Abschnitt **Ressourcen** enthalten.
** Parameter**
Der `Parameters` Abschnitt in Ihrer YAML-Datei enthält die Regelparameter für den AWS Config Regelsatz, den Sie später in dem `Resources` Abschnitt hinzufügen werden. Erstellen Sie den Abschnitt `Parameters`, indem Sie den folgenden Code-Block kopieren und in Ihre YAML-Datei einfügen, ihn nach Bedarf anpassen und den Schritt für jeden Regelparameter wiederholen.
```
Parameters:
NameOfRuleParamNameOfRuleParameter:
Default: Parameter value
Type: Type
...
```
Zum Beispiel:
```
Parameters:
IamPasswordPolicyParamMinimumPasswordLength:
Default: '14'
Type: String
```
**Anmerkung**
Vergewissern Sie sich bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Konformitätspakets, dass Sie die Ressourcen in Ihrem Konto bereitgestellt haben, die anhand der Regeln bewertet werden. AWS Config
1. Die erste Zeile im Parameterabschnitt danach `Parameters:` ist eine verkettete Zeichenfolge aus \$1 Param \$1. *NameOfRule* *NameOfRuleParameter*
1. Ersetzen Sie `NameOfRule` durch einen einheitlichen Namen, den Sie für die Regel erstellen. Das könnte zum Beispiel für die Regel sein. **IamPasswordPolicy**iam-password-policy ****
1. Typ `Param`.
1. Ersetzen Sie `NameOfRuleParameter` dann durch den Namen des Regelparameters für Ihre spezifische Regel. Bei AWS Config verwalteten Regeln befindet sich der Name des Regelparameters in der [Liste der AWS Config verwalteten Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) (**MinimumPasswordLength**ist z. B. der Name eines Regelparameters für die **iam-password-policy**Regel). Bei AWS Config -benutzerdefinierten Regeln entspricht der Name des Regelparameters dem Namen, den Sie bei der Erstellung der Regel ausgewählt haben.
1. Wenn Sie eine AWS Config verwaltete Regel verwenden, suchen Sie die entsprechende AWS Config Regel in der Liste der verwalteten Regeln, damit Sie die akzeptierten Werte für `Default` und `Type` für Ihre spezielle Regel kennen. Verwenden Sie für AWS Config -benutzerdefinierte Regeln die Werte, die Sie bei der Erstellung Ihrer Regel ausgewählt haben.
**Anmerkung**
Für jeden Parameter `Type` muss angegeben werden. `Type`kann einer der folgenden Werte sein: „String“, „int“, „double“, „CSV“, „boolean“ und "StringMap“.
**-Ressourcen**
In Abschnitt `Resources` sind die Regeln aufgeführt, die Ihrem benutzerdefinierten Konformitätspaket hinzugefügt werden. Fügen Sie den folgenden `Resources`-Block direkt unter Ihrem Abschnitt `Parameters` hinzu, passen Sie ihn nach Bedarf an und wiederholen Sie den Schritt für jede Regel. Weitere Informationen zu den Spezifikationen finden Sie unter. [AWS::Config::ConfigRule](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-config-configrule.html#aws-resource-config-configrule-syntax)
```
Resources:
NameOfRule:
Properties:
ConfigRuleName: ActualConfigRuleName
InputParameters:
NameOfRuleParameter: !Ref NameOfRuleParamNameOfRuleParameter
Source:
Owner: Owner
SourceIdentifier: SOURCE_IDENTIFIER
Type: AWS::Config::ConfigRule
...
```
Zum Beispiel:
```
Resources:
IamPasswordPolicy:
Properties:
ConfigRuleName: iam-password-policy
InputParameters:
MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
Source:
Owner: AWS
SourceIdentifier: IAM_PASSWORD_POLICY
Type: AWS::Config::ConfigRule
```
**Anmerkung**
Stellen Sie bei der Auswahl der AWS Config Regeln für die Erstellung Ihres benutzerdefinierten Conformance Packs sicher, dass Sie über die in Ihrem Konto bereitgestellten Ressourcen verfügen, die anhand der bereitgestellten AWS Config Regeln bewertet werden. Weitere Informationen finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
1. Ersetzen Sie `NameOfRule` durch den Namen, den Sie im Abschnitt `Parameters` erstellt haben.
1. Bei AWS Config verwalteten Regeln `ActualConfigRuleName` ersetzen Sie diese durch den Titel der entsprechenden Regelseite in der [Liste der AWS Config verwalteten](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) Regeln. Verwenden Sie für AWS Config benutzerdefinierte Regeln den Namen der Konfigurationsregel, den Sie bei der Erstellung der Regel ausgewählt haben.
1. Ersetzen Sie `NameOfRuleParameter` durch den Namen, den Sie im Abschnitt `Parameters` verwendet haben. Kopieren Sie nach dem Doppelpunkt dieselbe verkettete Zeichenfolge mit \$1 \$1 Param `!Ref` *NameOfRule* \$1, die Sie im Abschnitt erstellt haben*NameOfRuleParameter*, und fügen Sie sie ein. `Parameters`
1. Ändern Sie `Owner` in den entsprechenden Wert.
**Anmerkung**
**AWS Config Verwaltete Regeln**
Für AWS Config verwaltete Regeln lautet der Wert für `Owner``AWS`.
**AWS Config Benutzerdefinierte Regeln**
Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, lautet der Wert für `Owner``CUSTOM_POLICY`. Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, lautet der Wert für`Owner`. `CUSTOM_LAMBDA`
1. Ändern Sie `SOURCE_IDENTIFIER` in den entsprechenden Wert.
**Anmerkung**
**AWS Config Verwaltete Regeln**
Kopieren Sie bei AWS Config verwalteten Regeln den Bezeichner, indem Sie dem Link in der Regel folgen, die Sie in der [Liste der AWS Config verwalteten Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) ausgewählt haben (die Quell-ID für die **access-keys-rotated**Regel lautet beispielsweise **ACCESS\$1KEYS\$1ROTATED**).
**AWS Config Benutzerdefinierte Regeln**
Für AWS Config benutzerdefinierte Regeln, die mit Lambda erstellt wurden, `SourceIdentifier` ist dies der Amazon-Ressourcenname (ARN) der AWS Lambda Funktion der Regel, z. B. `arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName` Für AWS Config benutzerdefinierte Regeln, die mit Guard erstellt wurden, ist dieses Feld nicht erforderlich.
Insgesamt sollte Ihr ausgefülltes benutzerdefiniertes Konformitätspaket wie folgt aussehen, das ein Beispiel für die Verwendung dieser AWS Config verwalteten Regeln ist: **iam-password-policy**, **access-keys-rotated**, und **iam-user-unused-credentials-check**.
```
Parameters:
IamPasswordPolicyParamMinimumPasswordLength:
Default: '14'
Type: String
AccessKeysRotatedParamMaxAccessKeyAge:
Default: '90'
Type: String
IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
Default: '45'
Type: String
Resources:
IamPasswordPolicy:
Properties:
ConfigRuleName: iam-password-policy
InputParameters:
MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
Source:
Owner: AWS
SourceIdentifier: IAM_PASSWORD_POLICY
Type: AWS::Config::ConfigRule
AccessKeysRotated:
Properties:
ConfigRuleName: access-keys-rotated
InputParameters:
maxAccessKeyAge: !Ref AccessKeysRotatedParamMaxAccessKeyAge
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
Type: AWS::Config::ConfigRule
IamUserUnusedCredentialsCheck:
Properties:
ConfigRuleName: iam-user-unused-credentials-check
InputParameters:
maxCredentialUsageAge: !Ref IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
Type: AWS::Config::ConfigRule
```