Componentes de uma regra do AWS Config - AWS Config
Com funcionam as regras do AWS ConfigTipos de gatilhoModos de avaliaçãoMetadados de regras

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Componentes de uma regra do AWS Config

As regras do AWS Config avaliam as definições de configuração dos seus recursos da AWS. Esta página aborda os componentes de uma regra.

Com funcionam as regras do AWS Config

Enquanto o AWS Config monitora continuamente as alterações de configuração que ocorrem entre seus recursos, ele verifica se essas alterações violam alguma das condições em suas regras. Se um recurso viola uma regra, o AWS Config sinaliza o recurso e a regra como não compatíveis.

Há quatro resultados de avaliação possíveis de uma regra do AWS Config.

Resultado da avaliação Descrição
COMPLIANT A regra cumpre as condições da verificação de conformidade.
NON_COMPLIANT A regra não cumpre as condições da verificação de conformidade.
ERROR Um dos parâmetros obrigatórios/opcionais não é válido, não é do tipo correto ou está formatado incorretamente.
NOT_APPLICABLE Usado para filtrar recursos aos quais a lógica da regra não pode ser aplicada. Por exemplo, a regra alb-desync-mode-check verifica somente os Application Load Balancers e ignora os Network Load Balancers e os Gateway Load Balancers.

Por exemplo, quando um volume EC2 é criado, o AWS Config pode avaliar o volume em relação a uma regra que determina que os volumes sejam criptografados. Se o volume não estiver criptografado, o AWS Config sinalizará o volume e a regra como não compatíveis. O AWS Config também poderá verificar todos os seus recursos em relação a requisitos no âmbito da conta. Por exemplo, o AWS Config pode verificar se o número de volumes do EC2 em uma conta permanece dentro de um total desejado, ou se uma conta usa o AWS CloudTrail para o registro em log.

Tipos de gatilho

Após a adição de uma regra em sua conta, o AWS Config compara os recursos em relação às condições da regra. Após essa avaliação inicial, o AWS Config continua a executar avaliações a cada vez que uma é acionada. Os gatilhos de avaliação são definidos como parte da regra e podem incluir os tipos a seguir.

Tipo de gatilho Descrição
Alterações de configuração O AWS Config executa avaliações para a regra quando há um recurso que corresponde ao escopo da regra e há uma alteração na configuração do recurso. A avaliação é executada depois que o AWS Config envia uma notificação de alteração de item de configuração.

Você escolhe quais recursos acionam a avaliação, definindo o escopo da regra. O escopo pode incluir o seguinte:

  • Um ou mais tipos de recursos

  • A combinação de um tipo de recurso e um ID de recurso

  • A combinação de uma chave de tag e valor

  • Quando os recursos registrados são criados, atualizados ou excluídos

AWS ConfigO executa a avaliação ao detectar uma alteração em um recurso, que corresponda ao escopo da regra. Você pode usar o escopo para restringir quais recursos iniciam as avaliações.
Periódico O AWS Config executa avaliações para a regra a uma frequência escolhida por você, por exemplo, a cada 24 horas.
Híbrida Algumas regras têm alterações na configuração e gatilhos periódicos. Para essas regras, o AWS Config avalia seus recursos ao detectar uma alteração na configuração e também na frequência especificada.

Modos de avaliação

Há dois modos de avaliação das regras do AWS Config.

Modo de avaliação Descrição
Proativo

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.
Detecção Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes.
nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ter mais informações, consulte Ativar a avaliação proativa de regras do AWS Config.

Lista de regras gerenciadas com avaliação proativa

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação.

Lista de tipos de recursos compatíveis para avaliação proativa

Apresentamos uma lista dos tipos de recursos que são compatíveis com a avaliação proativa:

  • AWS::EC2::EIP

  • AWS::EC2::Instance

  • AWS::Lambda::Function

  • AWS::RDS::DBInstance

  • AWS::Redshift::Cluster

  • AWS::S3::Bucket

  • AWS::SNS::Topic

Metadados de regras do AWS Config

As regras do AWS Config podem conter os seguintes metadados mutáveis:

defaultName

O defaultName é o nome que as instâncias de uma regra receberão por padrão.

description

A description da regra fornece contexto sobre o que a regra avalia. O console do AWS Config tem um limite de 256 caracteres. Como prática recomendada, a descrição da regra deve começar com “Verifica se” e incluir uma descrição do cenário NON_COMPLIANT. Os nomes dos serviços devem ser escritos por extenso começando com AWS ou Amazon quando mencionados pela primeira vez na descrição da regra. Por exemplo, AWS CloudTrail ou Amazon CloudWatch em vez de CloudTrail ou CloudWatch para o primeiro uso. Os nomes dos serviços podem ser abreviados após referência subsequente.

scope

O escopo determina quais tipos de recursos a regra visa. Para obter uma lista de tipos de recursos compatíveis, consulte Supported Resource Types.

compulsoryInputParameterDetails

Os compulsoryInputParameterDetails são usados para os parâmetros necessários para que uma regra faça sua avaliação. Por exemplo, a regra gerenciada do access-keys-rotated inclui maxAccessKeyAge como parâmetro obrigatório. Se um parâmetro for necessário, ele não será marcado como (Opcional). Para cada parâmetro, um tipo deve ser especificado. O tipo pode ser “String”, “int”, “double”, “CSV”, “boolean” e “StringMap”.

optionalInputParameterDetails

Os optionalInputParameterDetails são usados para parâmetros que são opcionais para que uma regra faça sua avaliação. Por exemplo, a regra gerenciada elasticsearch-logs-to-cloudwatch inclui logTypes como parâmetro opcional. Para cada parâmetro, um tipo deve ser especificado. O tipo pode ser “String”, “int”, “double”, “CSV”, “boolean” e “StringMap”.

supportedEvaluationModes

O supportedEvaluationModes determina quando os recursos serão avaliados, podendo ser antes de um recurso ser implantado ou depois de um recurso ter sido implantado.

DETECTIVE é usado para avaliar recursos que já foram implantados. Isso permite que você avalie as definições de configuração dos seus recursos existentes. PROACTIVE é usado para avaliar os recursos antes que eles sejam implantados.

Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.

Você pode especificar os supportedEvaluationModes para DETECTIVE, PROACTIVE ou DETECTIVE e PROACTIVE. Você deve especificar um modo de avaliação e esse campo não pode permanecer vazio.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.