Para ativar a avaliação proativa de regras do AWS Config - AWS Config
Utilizar o consoleUsar SDKs da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Para ativar a avaliação proativa de regras do AWS Config

Você pode usar o console do AWS Config ou os SDKs da AWS para ativar as regras de avaliação proativa. Para ver uma lista de tipos de recurso e regras gerenciadas que permitem uma avaliação proativa, consulte Componentes de uma regra | Modos de avaliação.

Como ativar a avaliação proativa (console)

A página Regras mostra as regras e os resultados atuais de conformidade na tabela. O resultado para cada regra é Em avaliação até que o AWS Config termine a avaliação dos recursos em relação à regra. Você pode atualizar os resultados com o botão de atualizar.

Quando o AWS Config termina as avaliações, você pode ver as regras e tipos de recursos que são compatíveis ou não compatíveis. Para obter mais informações, consulte Visualizando informações de conformidade e resultados de avaliação de seus AWS recursos com AWS Config.

nota

O AWS Config avalia somente os tipos de recursos que estão sendo gravados. Por exemplo, se você adicionar a regra cloudtrail-enabled, mas não registrar o tipo de recurso de trilha do CloudTrail, o AWS Config não poderá avaliar se as trilhas em sua conta são compatíveis ou não. Para obter mais informações, consulte Gravar recursos da AWS com o AWS Config.

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões públicas da AWS" no registro do AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para ter mais informações, consulte Gerenciar extensões com o registro do CloudFormation e Referência de tipos de propriedades e recursos da AWS no “Guia do usuário do AWS CloudFormation”.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home.

  2. No menu do Console de gerenciamento da AWS, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões da AWS compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.

  3. Na barra de navegação à esquerda, selecione Rules (Regras). Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação.

  4. Escolha uma regra e, em seguida, escolha Editar regra para a regra que você deseja atualizar.

  5. Para o Modo de avaliação, escolha Ativar a avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.

  6. Escolha Salvar.

Depois de ativar a avaliação proativa, você pode usar a API StartResourceEvaluation e a API GetResourceEvaluationSummary para verificar se os recursos especificados nesses comandos seriam marcados como NON_COMPLIANT pelas regras proativas da sua conta na sua região.

Por exemplo, comece com a API StartResourceEvaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a API getResourceEvaluationSummary para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra marcou um recurso como NON_COMPLIANT, use a API GetComplianceDetailsByResource.

Como ativar a avaliação proativa (SDKs da AWS)

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões públicas da AWS" no registro do AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para ter mais informações, consulte Gerenciar extensões com o registro do CloudFormation e Referência de tipos de propriedades e recursos da AWS no “Guia do usuário do AWS CloudFormation”.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa

Use o comando put-config-rule e habilite PROACTIVE paraEvaluationModes.

Depois de ativar a avaliação proativa, você pode usar o comando da CLI start-resource-evaluation e o comando da CLI get-resource-evaluation-summary para verificar se os recursos especificados nesses comandos seriam sinalizados como NON_COMPLIANT pelas regras proativas da sua conta na sua região.

Por exemplo, comece com o comando start-resource-evaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use ResourceEvaluationId com o get-resource-evaluation-summary para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra sinalizou um recurso como NON_COMPLIANT, use o comando da CLI get-compliance-details-by-resource.

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação.

Você pode usar a avaliação proativa para avaliar os recursos antes que eles sejam implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões públicas da AWS" no registro do AWS CloudFormation registro ou com o seguinte comando da CLI:

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para ter mais informações, consulte Gerenciar extensões com o registro do CloudFormation e Referência de tipos de propriedades e recursos da AWS no “Guia do usuário do AWS CloudFormation”.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Para ativar a avaliação proativa de uma regra

Use a ação PutConfigRule e habilite PROACTIVE para EvaluationModes.

Depois de ativar a avaliação proativa, você pode usar a API StartResourceEvaluation e a API GetResourceEvaluationSummary para verificar se os recursos especificados nesses comandos seriam marcados como NON_COMPLIANT pelas regras proativas da sua conta na sua região. Por exemplo, comece com a API StartResourceEvaluation:

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a API getResourceEvaluationSummary para verificar o resultado da avaliação:

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra marcou um recurso como NON_COMPLIANT, use a API GetComplianceDetailsByResource.

nota

Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação.