Avaliar recursos com regras do AWS Config

Quando você cria regras personalizadas ou usa regras gerenciadas, o AWS Config avalia seus recursos em relação a essas regras. Você pode executar avaliações sob demanda para recursos em relação às suas regras. Por exemplo, isso é útil quando você cria uma regra personalizada e deseja verificar se o AWS Config está avaliando corretamente seus recursos, ou para identificar se há um problema com a lógica de avaliação da sua função do AWS Lambda.

Exemplo

Você cria uma regra personalizada que avalia se os usuários do IAM; têm chaves de acesso ativas.
O AWS Config avalia os recursos em relação à sua regra personalizada.
Existe na sua conta um usuário do IAM; que não tem uma chave de acesso ativa. Sua regra não sinaliza corretamente esse recurso como NON_COMPLIANT.
Você corrige a regra e inicia a avaliação novamente.
Como você corrigiu a regra, ela avalia corretamente seus recursos e sinaliza o recurso de usuário do IAM; como NON_COMPLIANT.

Ao adicionar uma regra à sua conta, você pode especificar quando, no processo de criação e gerenciamento de recursos, você quer que o AWS Config avalie seus recursos. O processo de criação e gerenciamento de recursos é conhecido como provisionamento de recursos. Você escolhe o modo de avaliação para especificar quando, nesse processo, você quer que o AWS Config avalie seus recursos.

Dependendo da regra, o AWS Config pode avaliar suas configurações de recursos antes de um recurso ser implantado, depois de um recurso ter sido implantado ou ambos. Avaliar um recurso antes que ele seja implantado é uma avaliação proativa. Avaliar um recurso após sua implantação é uma avaliação de detecção.

Use a avaliação proativa para avaliar os recursos antes de serem implantados. Isso permite avaliar se um conjunto de propriedades de recursos, se usado para definir um recurso da AWS, seria COMPLIANT ou NON_COMPLIANT, considerando o conjunto de regras proativas que você tem em sua conta e região.

O Esquema do tipo de recurso indica as propriedades de um recurso. Você pode encontrar o esquema do tipo de recurso em "extensões públicas da AWS" no registro do AWS CloudFormation registro ou com o seguinte comando da CLI:


aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

Para ter mais informações, consulte Gerenciar extensões com o registro do CloudFormation e Referência de tipos de propriedades e recursos da AWS no “Guia do usuário do AWS CloudFormation”.

nota

As regras proativas não corrigem os recursos marcados como NON_COMPLIANT nem impedem que eles sejam implantados.

Avaliar seus recursos

Para ativar a avaliação proativa

Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home.
No menu do Console de gerenciamento da AWS, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões da AWS compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.
Na barra de navegação à esquerda, selecione Rules (Regras). Para obter uma lista de regras gerenciadas que oferecem suporte à avaliação proativa, consulte Lista de regras gerenciadas do AWS Config por modo de avaliação.
Escolha uma regra e, em seguida, escolha Editar regra para a regra que você deseja atualizar.
Para o Modo de avaliação, escolha Ativar a avaliação proativa para permitir que você execute avaliações nas definições de configuração de seus recursos antes de serem implantados.
Escolha Salvar.

nota

Você também pode ativar a avaliação proativa usando o comando put-config-rule e habilitando PROACTIVE para EvaluationModes ou usando a ação PutConfigRule e habilitando PROACTIVE para EvaluationModes.

Depois de ativar a avaliação proativa, você pode usar a API StartResourceEvaluation e a API GetResourceEvaluationSummary para verificar se os recursos especificados nesses comandos seriam marcados como NON_COMPLIANT pelas regras proativas da sua conta na sua região.

Por exemplo, comece com a API StartResourceEvaluation:


aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

Você deve receber o ResourceEvaluationId na saída:


{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

Em seguida, use o ResourceEvaluationId com a API getResourceEvaluationSummary para verificar o resultado da avaliação:


aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

Você deve receber uma saída semelhante à seguinte:


{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

Para ver informações adicionais sobre o resultado da avaliação, como qual regra marcou um recurso como NON_COMPLIANT, use a API GetComplianceDetailsByResource.

Use a avaliação de detecção para avaliar os recursos que já foram implantados. Isso permite avaliar as definições de configuração de seus recursos existentes.

Avaliar seus recursos (console)

Faça login no Console de gerenciamento da AWS e abra o console do AWS Config em https://console.aws.amazon.com/config/home.
No menu do Console de gerenciamento da AWS, verifique se o seletor de região está definido para uma região que tem suporte a regras do AWS Config. Para obter a lista das regiões compatíveis, consulte Regiões e endpoints do AWS Config no Referência geral da Amazon Web Services.
No painel de navegação, escolha Regras. A página Regras mostra o nome, a ação de correção associada e o status de conformidade de cada regra.
Escolha uma regra na tabela.
Na lista suspensa Ações, escolha Reavaliar.
AWS ConfigO começa a avaliar os recursos em relação à sua regra.

nota

Você pode reavaliar uma regra uma vez a cada minuto. Você deve esperar o AWS Config concluir a avaliação para sua regra antes de iniciar outra avaliação. Você não pode executar uma avaliação se, ao mesmo tempo, a regra estiver sendo atualizada ou se a regra for excluída.

Avaliar seus recursos (CLI)

Use o comando start-config-rules-evaluation:
```
$ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName
```
AWS ConfigO começa a avaliar as configurações de recursos registrados em relação à sua regra. Você também pode especificar várias regras em sua solicitação:
```
$ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3
```

Avaliar seus recursos (API)

Use a ação StartConfigRulesEvaluation.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Enviando avaliações para o Security Hub CSPM

Exclusão de resultados de avaliação