本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义调查结果响应
您可以选择希望 AMS Accelerate 如何响应某些发现(不合规的 Config 规则)。您可以将 AMS 配置为对调查结果做出回应,方法是修正调查结果,请求您批准补救,或者只是在下次月度业务回顾 (MBR) 中向您报告。您可以更改 AMS Accelerate Config 规则的默认响应。要查看规则,请前往 “配置合规性” > “规则表”,或者将规则表下载为 ZIP 文件 ams_config_rules.zip。
更改默认响应允许对更多发现进行补救,从而帮助您提高账户的安全性和合规性状态。当你修复更多的调查结果时,需要等待人工审核和批准的案例就会减少。大量的 AMS 补救运行手册库会不断修复不合规的资源,只有在需要时才会与您联系。
自定义响应仅适用于新资源或包含新事件的现有资源。例如,变更后变为不合规的资源。这是因为较旧的资源往往需要在修复之前进行更深入的检查,而且在创建或更改资源时更容易强制执行资源修复。要随时请求对任何资源的发现进行补救,请提交服务请求。
请求更改默认回复
Cloud Architects (CAs) 会在入职期间与你合作,收集你的偏好。 CAs然后在内部 AMS 系统上设置初始配置。入职后,创建服务请求以请求更新您的配置。您可以根据需要多次请求配置更新。请注意,操作仅更新创建服务请求的账户的配置。如果您需要同时更新多个帐户,请联系您的云架构师。出于审计目的,您的 CA 会要求您根据自己的偏好删除服务请求。
更改调查结果和账户的默认回复
您始终需要为每个账户和发现设置一个回复偏好。AMS 提供默认响应(请参阅配置合规性),因此此配置是可选的。您可以将每个查找结果的默认响应更改为以下选项:
修复:AMS 手动或自动修复发现。AMS 会审查补救措施并告知您是否失败。
申请批准:AMS 创建出站案例以通知您有关调查结果。如果您想在批准补救措施或豁免补救措施之前查看调查结果,请使用此选项。然后,AMS 会执行您喜欢的操作。
不采取任何行动(仅限报告):AMS 不采取任何措施来补救或上报调查结果。调查结果可能仍会显示在控制台上,并在控制台期间显示报告 MBRs。
注意
您无法更改必须由 AMS 补救的规则的配置。例如,启用 Amazon GuardDuty 和 VPC 流日志。
按资源更改默认响应
您可以使用标签进一步配置对特定资源的响应。您可以使用 Resource Tagger 使用已存在的标签或标记资源。有关详细信息,请参阅加速资源标记器)。带有标签的资源的配置优先于查找结果的默认操作。当资源有多个标签且关联配置不同时,AMS 无法运行自定义补救措施。相反,AMS 会向您发送出站服务请求,以告知您情况。例如,对于bucket-server-side-encryption启用 s3- 的查找结果,您可以:
将响应更改为 “修复” 未加密的 S3 存储桶,标签密钥值对为 “监管:True”
当未加密的 S3 存储桶的标签为 “监管:False” 时,将响应更改为 “无操作”,并且
将未加密的 S3 存储桶的默认响应更改为 “请求批准”。这适用于所有没有 “监管:真” 或 “监管:假” 标签的 S3 存储桶
您还可以添加运行自定义查找响应所需的输入。例如,对于需要加密密钥的补救措施,您可以向 AMS IDs 提供密钥。您可以更改修复运行手册的输入参数,但是 AMS 不支持与自定义 runbook 集成。有关 Config 报告中对 AMS 补救运行手册的描述,请参阅AWS Config 控制合规性报告。
