Descobertas e respostas personalizadas - Guia do usuário do AMS Accelerate
Solicitando uma alteração nas respostas padrãoAlterando as respostas padrão para suas descobertas e contasAlteração das respostas padrão por recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Descobertas e respostas personalizadas

Você pode escolher como deseja que o AMS Accelerate responda a algumas descobertas (regras de configuração não compatíveis). Você pode configurar o AMS para responder às descobertas, corrigindo a descoberta, solicitando sua aprovação para remediar ou apenas reportando a você em sua próxima Análise Empresarial Mensal (MBR). Você pode alterar as respostas padrão das regras do AMS Accelerate Config. Para ver as regras, acesse Conformidade de configuração > Tabela de regras ou baixe a tabela de regras como um arquivo ZIP ams_config_rules.zip.

Alterar as respostas padrão ajuda você a aumentar o estado de segurança e conformidade da sua conta, permitindo que mais descobertas sejam corrigidas. Quando você corrige mais descobertas, você tem menos casos que precisam esperar por uma revisão e aprovação manuais. A extensa biblioteca de runbooks de remediação do AMS corrige constantemente recursos não compatíveis e você é contatado somente quando necessário.

As respostas personalizadas são usadas somente com novos recursos ou recursos existentes com novos eventos. Por exemplo, um recurso que não está em conformidade após uma alteração. Isso ocorre porque os recursos mais antigos tendem a exigir uma inspeção mais profunda antes da remediação e é mais fácil impor a remediação de recursos à medida que são criados ou alterados. Para solicitar a correção da descoberta de qualquer recurso a qualquer momento, envie uma solicitação de serviço.

Solicitando uma alteração nas respostas padrão

Os Cloud Architects (CAs) trabalham com você durante a integração para coletar suas preferências. CAsem seguida, configure a configuração inicial em sistemas AMS internos. Depois de integrado, crie uma solicitação de serviço para solicitar atualizações em suas configurações. Você pode solicitar atualizações de configuração quantas vezes forem necessárias. Observe que o Operations atualiza somente as configurações da conta na qual a solicitação de serviço foi criada. Se você precisar atualizar várias contas ao mesmo tempo, entre em contato com seu Cloud Architect. Sua CA solicitará que você corte uma solicitação de serviço com suas preferências para fins de auditoria.

Alterando as respostas padrão para suas descobertas e contas

Você sempre precisa de uma preferência de resposta para cada conta e descoberta. O AMS fornece uma resposta padrão (consulte Conformidade de configuração), portanto, essa configuração é opcional. Você pode alterar as respostas padrão para cada descoberta para as seguintes opções:

  • Remediar: o AMS corrige manualmente ou automaticamente a descoberta. O AMS analisa a remediação e informa se ela falhar.

  • Solicitar aprovação: o AMS cria um caso de saída para notificá-lo sobre a descoberta. Use essa opção quando quiser revisar a descoberta antes de aprovar sua remediação ou isentá-la. O AMS então executa a ação que você preferir.

  • Nenhuma ação (somente relatório): a AMS não toma nenhuma ação para remediar ou intensificar a descoberta. As descobertas ainda podem aparecer no console e nos relatórios apresentados durante MBRs.

nota

Você não pode alterar a configuração das regras que devem ser corrigidas pelo AMS. Por exemplo, habilitar Amazon GuardDuty e VPC Flow Logs.

Alteração das respostas padrão por recursos

Você pode configurar ainda mais a resposta a recursos específicos usando tags. Você pode usar suas tags preexistentes ou recursos de tag usando o Resource Tagger. Para obter detalhes, consulteAcelere o marcador de recursos). A configuração de recursos com tags tem precedência sobre a ação padrão para a descoberta. Quando um recurso tem várias tags com diferentes configurações associadas, o AMS não pode executar correções personalizadas. Em vez disso, o AMS envia uma solicitação de serviço de saída para informá-lo sobre a situação. Por exemplo, para a descoberta bucket-server-side-encryptionhabilitada para s3, você pode:

  • Altere a resposta para 'remediar' buckets S3 não criptografados com o par de valores de chave de tag “Regulated: True”

  • Altere a resposta para “nenhuma ação” quando buckets S3 não criptografados tiverem as tags “Regulado: Falso” e

  • Altere a resposta padrão de buckets S3 não criptografados para “solicitar aprovação”. Isso se aplica a todos os buckets S3 que não têm as tags “Regulado: Verdadeiro” ou “Regulado: Falso”

Você também pode adicionar a entrada necessária para executar a resposta de busca personalizada. Por exemplo, para remediações que exigem uma chave de criptografia, você pode fornecer sua chave IDs ao AMS. Você pode alterar os parâmetros de entrada dos runbooks de remediação, mas o AMS não oferece suporte à integração com runbooks personalizados. Para obter uma descrição dos runbooks de remediação do AMS no Config Report, consulte. AWS Config Relatório de conformidade de controle