本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂問題清單回應
您可以選擇您希望 AMS Accelerate 如何回應某些問題清單 (不合規的 Config 規則)。您可以設定 AMS 來回應問題清單,方法是修復問題清單、請求您的核准進行修復,或在下一次的每月商業審查 (MBR) 中向您報告。您可以變更 AMS Accelerate Config 規則的預設回應。若要查看規則,請前往組態合規 > 規則表,或將規則表下載為 ZIP 檔案 ams_config_rules.zip。
變更預設回應可讓您修復更多問題清單,以協助您提高帳戶的安全性和合規狀態。當您修復更多問題清單時,需要等待手動檢閱和核准的案例較少。廣泛的 AMS 修復 Runbook 程式庫會持續修正不合規的資源,而且只會在需要時與您聯絡。
自訂回應只會與新資源或具有新事件的現有資源搭配使用。例如,在變更後變成不合規的資源。這是因為較舊的資源在修復之前往往需要更深入的檢查,並且更容易在建立或變更資源修復時強制執行資源修復。若要隨時請求修復任何資源的問題清單,請提交服務請求。
請求變更預設回應
雲端架構師 (CAs) 會在加入期間與您合作,以收集您的偏好設定。CAs 接著會在內部 AMS 系統上設定初始組態。加入後,建立服務請求以請求更新組態。您可以視需要請求任意次數的組態更新。請注意,操作只會更新建立服務請求之帳戶的組態。如果您需要同時更新多個帳戶,請聯絡您的 Cloud Architect。您的 CA 會要求您使用偏好設定來剪下服務請求,以供稽核之用。
變更問題清單和帳戶的預設回應
您一律需要每個帳戶和調查結果的回應偏好設定。AMS 提供預設回應 (請參閱組態合規),因此此組態是選用的。您可以將每個問題清單的預設回應變更為下列選項:
修復:AMS 手動或自動修復問題清單。AMS 會檢閱修復,並讓您知道是否失敗。
請求核准:AMS 會建立傳出案例,以通知您調查結果。當您想要在核准或排除問題清單之前檢閱問題清單時,請使用此選項。AMS 接著會執行您偏好的動作。
無動作 (僅限報告):AMS 不採取任何動作來修復或呈報問題清單。問題清單可能仍然會出現在主控台上,以及在 MBRs期間呈現的報告。
注意
您無法變更 AMS 必須修復的規則組態。例如,啟用 Amazon GuardDuty 和 VPC 流程日誌。
依資源變更預設回應
您可以使用標籤進一步設定對特定資源的回應。您可以使用預先存在的標籤,或使用 Resource Tagger 標記資源。如需詳細資訊,請參閱 加速資源交錯)。具有標籤的資源組態優先於問題清單的預設動作。當資源具有多個具有不同關聯組態的標籤時,AMS 無法執行自訂修復。反之,AMS 會傳送傳出服務請求給您,通知您此情況。例如,對於 s3-bucket-server-side-encryption-enabled 調查結果,您可以:
使用標籤鍵值對 "Regulated: True" 將回應變更為 'remediate' unencrypted S3 儲存貯體
當未加密的 S3 儲存貯體具有 "Regulated: False" 標籤時,將回應變更為「no action」,以及
將未加密 S3 儲存貯體的預設回應變更為「請求核准」。這適用於所有沒有「管制:True」或「管制:False」標籤的 S3 儲存貯體
您也可以新增執行自訂問題清單回應所需的輸入。例如,對於需要加密金鑰的修復,您可以將金鑰 IDs提供給 AMS。您可以變更修復 Runbook 的輸入參數,但 AMS 不支援與自訂 Runbook 整合。如需 Config 報告中 AMS 修復 Runbook 的說明,請參閱 AWS Config 控制合規報告。
