本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用Amazon Config控制台规则
Rules (规则) 页面提供了初始 Amazon 托管规则,您可以将这些规则添加到自己的账户。在设置之后,Amazon Config 根据您选择的规则来评估您的 Amazon 资源。您可以在设置之后更新规则和创建其他托管规则。
要查看 Amazon 托管规则的完整列表,请参阅 Amazon Config 托管规则的列表。
例如,您可以选择cloudtrail-enabled规则,该规则将评估您的账户是否具有 CloudTrail 跟踪。如果您的账户没有跟踪,Amazon Config 会将资源类型以及规则标记为不合规。
在 Rules 页面上,可以执行以下操作:
-
在搜索字段中键入,以便按规则名称、描述或标签筛选结果。例如,键入 EC2 可返回评估 EC2 资源类型的规则,或者键入 periodic 可返回具有定期触发器的规则。键入“new”可搜索新添加的规则。有关触发器类型的更多信息,请参阅为 Amazon Config 规则指定触发器。
-
选择一个规则,以查看其特定详细信息。您也可以通过选择旁边的箭头来按字母顺序对结果进行重新排序规则名称标签。
-
选择箭头图标可查看下一页规则。
-
查看最近添加的标记为New.
-
查看标签来确定规则所评估的资源类型以及规则是否具有定期触发器。
设置 Amazon Config 规则
-
在 Rules 页面上,选择所需的规则。您可以自定义这些规则,并在设置之后将其他规则添加到您的账户。
-
选择 Next(下一步)。
-
在 Review 页面上,验证您的设置详细信息,然后选择 Confirm。
Rules 页面在一个表中显示您的规则及其当前的合规性结果。在 根据规则完成对您的资源的评估前,每个规则的结果都显示为 Evaluating...Amazon Config。您可以使用刷新按钮更新结果。当 Amazon Config 完成评估时,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 查看配置合规性。
Amazon Config 仅评估它所记录的资源类型。例如,如果您将cloudtrail-enabled规则,但不要记录 CloudTrail 追踪资源类型,Amazon Config无法评估您账户中的跟踪是合规还是不合规。有关更多信息,请参阅 选择 Amazon Config 所记录的资源。
您可以查看、编辑和删除现有规则。您还可以创建额外的 Amazon 托管规则或创建自己的规则。有关更多信息,请参阅 管理您的 Amazon Config 规则。
将规则评估发送到Security Hub
在添加一个Amazon Config规则,您也可以将规则评估发送到Amazon Security Hub. 两者之间的整合Amazon Config和 Security Hub 允许您对规则评估以及其他错误配置和安全问题进行分类和修复。
将规则评估发送到Security Hub
要将规则评估发送到 Security Hub,您必须先设置Amazon Security Hub和Amazon Config,然后至少添加一个Amazon Config托管或自定义规则。在此之后,Amazon Config立即开始向 Security Hub 发送规则评估。Security Hub 丰富了规则评估并将其转换为Security Hub 调查结果。
有关此集成的更多信息,请参阅AvailableAmazon服务集成中的Amazon Security Hub用户指南。