为自定义 Config 规则创建 Amazon Lambda 函数在 Amazon Config 中创建自定义规则的安全最佳实践Amazon Lambda基于资源的策略评估其他资源类型

自定义 Lambda 规则（一般示例）

完成以下过程以创建自定义 Lambda 规则。要创建自定义 Lambda 规则，您首先创建Amazon Lambda函数，其中包含该规则的评估逻辑。然后，您将该函数与您在创建的自定义 Lambda 规则关联。Amazon Config.

重要

作为允许的最佳安全实践Amazon Config调用 Lambda 函数的权限，我们强烈建议您在基于资源的策略中限制 Lambda 的访问sourceARN和/或sourceAccountId在调用请求中。有关更多信息，请参阅的安全最佳实践Amazon Lambda基于资源的策略。

为自定义 Config 规则创建 Amazon Lambda 函数

一个Lambda 函数是你上传到的自定义代码Amazon Lambda，并且由事件源发布给它的事件调用。如果 Lambda 函数与 Config 规则关联，Amazon Config在触发规则时调用它。然后，Lambda 函数将评估由发送的配置信息。Amazon Config，然后返回评估结果。有关 Lambda 函数的更多信息，请参阅功能和事件来源中的Amazon Lambda开发人员指南.

您可以使用支持的编程语言Amazon Lambda为自定义 Lambda 规则创建 Lambda 函数。为简化这一任务，您可以自定义Amazon Lambda蓝图或重复使用Amazon ConfigRule GitHub 存储库。

Amazon Lambda 蓝图

Amazon Lambda 控制台可以提供示例函数或蓝图，您可以通过添加自己的评估逻辑来对其进行自定义。当您创建函数时，您可以选择以下蓝图之一：

触发配置规则更改— 在您的时触发Amazon资源配置更改。
配置规则-周期性— 按照您选择的频率（例如，每 24 小时）触发。

Amazon ConfigRule GitHub 知识库

自定义 Lambda 规则示例函数的公开存储库，GitHub 是一项基于网络的代码托管和共享服务。示例函数由 Amazon 社区开发和提供。如果想使用示例函数，您可以将其代码复制到新的 Amazon Lambda 函数中。要查看存储库，请访问 https://github.com/awslabs/aws-config-rules/。

为您的自定义规则创建函数

登录到 Amazon Web Services Management Console，然后通过以下网址打开 Amazon Lambda 控制台：https://console.aws.amazon.com/lambda/。
在 Amazon Web Services Management Console菜单上，验证区域选择器是否设置为支持 Amazon Config 规则的区域。有关支持区域的列表，请参阅Amazon Config区域和终端节点中的Amazon Web Services 一般参考.
选择 Create a Lambda function (创建 Lambda 函数)。
在存储库的使用蓝图页面上，您可以为Amazon Config将规则作为起点，或者您可以通过选择不使用蓝图继续操作跳过.
在 Configure triggers 页面上，选择 Next。
在存储库的基本信息页面上，键入一个名称和描述。
对于 Runtime，请选择您编写函数时使用的编程语言。
对于 Code entry type，请选择您偏好的条目类型。如果您正在使用蓝图，请保留预配置的代码。
用您选择的代码条目类型要求的方法提供您的代码。如果您正在使用蓝图，那么函数代码由代码编辑器提供，且您可以自定义代码，以使其包含您自己的评估逻辑。当 Amazon Config 调用您的函数时，您的代码可以评估它提供的事件数据：
- 对于基于 config-rule-change-triggered 蓝图的函数或由配置更改触发的函数，事件数据是更改的 Amazon 资源的配置项或过大配置项对象。
- 对于基于 config-rule-periodic 蓝图的函数，或按照您选择的频率触发的函数，事件数据是一个 JSON 对象，包括有关评估触发时间的信息。
- 对于这两种类型的函数，Amazon Config 会传递 JSON 格式的规则参数。您在中创建自定义 Lambda 规则时，您可以定义传递哪个规则参数。Amazon Config.
- 有关 Amazon Config 在调用您的函数时发布的事件示例，请参阅 Amazon Config 规则的示例事件。
适用于执行角色，选择从创建新角色AmazonPolicy templates.
对于 Role name，请输入名称。
适用于Policy templates，选择AmazonConfig rules 权限.
验证详细信息并选择创建函数.

在 Amazon Config 中创建自定义规则

使用Amazon Config将创建自定义 Lambda 规则并将其与 Lambda 函数关联。

创建自定义规则

通过以下网址打开 Amazon Config 控制台：https://console.aws.amazon.com/config/。
在Amazon Web Services Management Console菜单中，验证区域选择器中的区域是否与您创建Amazon Lambda适用于自定义 Lambda 规则的函数。
在 Rules 页面，选择 Add rule。
在存储库的指定规则类型页面，选择创建自定义规则.
在 Configure rule 页面，键入一个名称和描述。
适用于Amazon Lambda函数 ARN对于，指定 ARNAmazon Lambda分配给你的函数。

注意
您在此步骤中指定的 ARN 不能包含 $LATEST 限定词。您指定的 ARN 可以不带有版本限定词，也可以带有除 $LATEST 之外的任何限定词。Amazon Lambda 支持函数版本控制功能，并为每个版本都分配一个带有限定词的 ARN。Amazon Lambda 对最新版本使用 $LATEST 限定词。
对于 Trigger type，请选择下列一个或两个选项：
- 配置更改–Amazon Config在检测到配置更改时调用 Lambda 函数。
- 定期–Amazon Config按照您选择的频率（例如，每 24 小时）调用您的 Lambda 数。
如果规则的触发器类型包括配置更改对于，指定下列选项之一更改范围用哪Amazon Config调用 Lambda 函数：
- 所有更改— 何时记录的任何资源Amazon Config已创建、更改或删除。
- 资源— Resource (类型和标识符) 匹配的资源被创建、更改或删除时。
- 标签— 在创建、更改或删除包含指定标签的任何资源时
如果规则的触发器类型包括定期中，指定Frequency用哪Amazon Config调用 Lambda 函数。
在参数部分中，指定任何规则参数Amazon Lambda函数评估并获得所需的值。
选择 Next（下一步）。在存储库的审核和创建页面，验证有关您的规则的详细信息，然后选择添加规则函数. 您的新规则将显示在Rule页.

合规性将显示正在评估...直到Amazon Config接收来自您的评估结果Amazon Lambdafunction. 如果规则和函数按预期运行，结果汇总将在几分钟后显示。您可以使用刷新按钮更新结果。

如果规则或函数没有按预期运行，您可能会在 Compliance 中看到以下一项内容：
- No results reported (未报告任何结果) - Amazon Config 针对规则评估了您的资源。规则不适用于其范围内的 Amazon 资源，指定的资源已删除，或者评估规则已删除。要获取评估结果，请更新规则、更改其范围或者选择 Re-evaluate。
  
  如果规则不报告评估结果，该消息可能也会出现。
- No resources in scope (范围中没有资源) - Amazon Config 无法对照规则来评估您记录的 Amazon 资源，因为您的任何资源都不在规则范围内。您可以选择哪些资源Amazon Config记录设置页.
- Evaluations failed (评估失败) - 有关可帮助您确定问题的信息，请选择规则名称以打开其详细信息页面并查看错误消息。

注意

当您使用Amazon ConfigConsole (控制台)，系统将自动为您创建适当权限。如果 Lambda 使用Amazon CLI，你需要给Amazon ConfigLambda 用aws lambda add-permission命令。有关更多信息，请参阅。对使用基于资源的策略Amazon Lambda（Lambda 函数策略）中的Amazon Lambda开发人员指南.

在给予之前Amazon Config调用 Lambda 函数的权限，请参阅以下部分的安全最佳实践Amazon Lambda基于资源的策略.

的安全最佳实践Amazon Lambda基于资源的策略

作为安全最佳实践，为避免对整个服务主体名称 (SPN) 授予调用权限以调用 Lambda 函数，我们强烈建议您在基于 Lambda 资源的策略中限制访问sourceARN和/或sourceAccountId在调用请求中。

这些区域有：sourceARNARN 是Amazon Config调用 Lambda 函数的规则。

这些区域有：sourceAccountId是创建规则的用户的账户 ID。

在基于 Lambda 资源的策略中限制访问权限有助于确保Amazon Lambda仅代表预期的用户和场景访问您的资源。

要添加基于 SPN 的权限，您需要使用以下 CLI


aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com

添加 SourceAccountId 基于权限

在创建规则之前，您可以添加sourceAccountId使用以下 CLI 访问基于资源的策略的权限


aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-account your account ID

添加这两者的 SourceArn 和 SourceAccountId 基于权限

创建规则后，您可以添加sourceARN使用以下 CLI 授予基于资源的策略的权限。这仅允许特定规则 ARN 调用 Lambda 函数。


aws lambda add-permission --function-name rule lambda function name --action lambda:InvokeFunction --statement-id config --principal config.amazonaws.com --source-account your account ID --source-arn ARN of the created config rule

评估其他资源类型

您可以创建自定义 Lambda 规则来针对不记录的资源类型运行评估。Amazon Config. 如果要评估以下资源类型的合规性，这会很有用：Amazon Config目前没有记录。有关您可以使用自定义 Lambda 规则评估的其他资源类型的列表，请参阅Amazon资源类型参考.

注意

列表Amazon CloudFormation《用户指南》可能包含最近添加，但尚不可用于在中创建自定义 Lambda 规则的资源类型。Amazon Config.Amazon Config定期添加资源类型支持。

示例

您想评估账户中的 Amazon S3 Glacier 保险库。目前未记录 Amazon S3 Glacier 文件库资源Amazon Config.
你创建Amazon Lambda函数，以评估您的 Amazon S3 Glacier 文件库是否符合您的账户要求。
您创建了名为的自定义 Lambda 规则评估冰川-金库然后分配你的Amazon Lambda适用于规则的函数。
Amazon Config将调用您的 Lambda 函数，然后按照您的规则评估 Amazon S3 Glacier 文件库。
Amazon Config 返回评估结果，您可以查看您的规则的合规性结果。

注意

您可以查看 Amazon Config 时间线中的配置详细信息，并在 Amazon Config 支持的资源的 Amazon Config 控制台中查找资源。如果您配置 Amazon Config 以记录所有资源类型，则新添加的支持资源将被自动记录。有关更多信息，请参阅支持的资源类型。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

自定义 Lambda 规则（Amazon EC2 示例）

Lambda 函数和事件示例