本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 AWS CloudFormation 模板创建 AWS Config 托管规则 **重要** 必须先创建并启动 AWS Config 配置记录器才能使用创建 AWS Config 托管规则 AWS CloudFormation。有关更多信息,请参阅[管理配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。 对于支持的 AWS Config 托管规则,您可以使用 CloudFormation 模板为您的账户创建规则或更新现有 CloudFormation 堆栈。堆栈是您作为单个单元配置和更新的相关资源的集合。在使用模板启动堆栈时,将为您创建 AWS Config 托管规则。模板仅创建规则,不创建其他 AWS 资源。 **注意** AWS Config 托管规则更新后,模板会根据最新更改进行更新。要为规则保存特定版本的模板,请下载该模板并将其上传到您的 S3 存储桶。 有关使用 AWS CloudFormation 模板的更多信息,请参阅《*AWS CloudFormation 用户指南》 AWS CloudFormation*中的 “[入门](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/GettingStarted.html)”。 **为 AWS Config 托管规则启动 CloudFormation 堆栈** 1. 前往[CloudFormation控制台](https://console.aws.amazon.com/cloudformation)并创建一个新堆栈。 1. 对于 **Specify template(指定模板)**: + 如果您已下载模板,请选择 **Upload a template file(上传模板文件)**,然后选择 **Choose file(选择文件)**以上传模板。 + 您也可以选择 **Amazon S3 URL**,然后输入模板 URL。`http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/{{THE_RULE_IDENTIFIER}}.template` **注意** 规则标识符应写在 ALL\_CAPS\_WITH\_UNDERSCORES 中。例如,CLOUDWATCH\_LOG\_GROUP\_ENCRYPTED cloudwatch-log-group-encrypted 对于某些规则,规则标识符与规则名称不同。确保使用规则标识符。例如,restricted-ssh 的规则标识符为 INCOMING\_SSH\_DISABLED。 1. 选择**下一步**。 1. **在 “指定堆栈详细信息**” 中,键入堆栈名称并输入 AWS Config 规则的参数值。例如,如果您使用的是 `DESIRED_INSTANCE_TYPE` 托管规则模板,则可以指定实例类型,例如“m4.large”。 1. 选择**下一步**。 1. 对于 **Options**,您可以创建标签或配置其他高级选项。这些操作不是必需的。 1. 选择**下一步**。 1. 对于 **Review**,验证模板、参数和其他选项是否正确。 1. 选择**创建**。将在几分钟内创建堆栈。您可以在 [AWS Config 控制台](https://console.aws.amazon.com/config)中查看创建的规则。 您可以使用模板为 AWS Config 托管规则创建单个堆栈或更新账户中的现有堆栈。如果您删除堆栈,也将删除从该堆栈创建的托管规则。有关更多信息,请参阅《*AWS CloudFormation 用户指南*》中的[使用堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)。