Amazon Config Managed Rules 测试 上篇

> 文章作者：全是亚马逊云科技干货  | 往期推荐 | | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [Amazon Config rule 介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497409&idx=1&sn=64cc71ee3ab78d9a45f77e4902b979ef&chksm=c1c8bf93f6bf3685508f72878c91e4441b0241b548a100278f8f6a62d1498475bfbcefd9f157&scene=21#wechat_redirect?trk=cndc-detail) | | [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 下篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497391&idx=1&sn=e750309e912a1b91c6b4feb6a682a104&chksm=c1c8bffdf6bf36eb8d6fe53fcbb9fc1e5780c1750f884844c8b2ef68f828db7033581ccda238&scene=21#wechat_redirect?trk=cndc-detail) | | [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 上篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497349&idx=1&sn=ce6d4b6276a15650c4d5ea5c007e24f4&chksm=c1c8bfd7f6bf36c1536a62aacd313ec508fb2c0ec169eb2fa138eca956dd7908ef5e83b4247e&scene=21#wechat_redirect?trk=cndc-detail) | | [利用 Amazon Config 高级查询删除有关联对象的 Security group](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497309&idx=1&sn=24580f7a6a6dcd169c0e8e3c1886c341&chksm=c1c8bf0ff6bf36194c27c97e6342da6f5499efa47a551b7042b6d99fbf06513544502d90797a&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Config 高级查询测试](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497276&idx=1&sn=2a69480b31e87d75ca06d530882324fb&chksm=c1c8bf6ef6bf3678ffc6e5b7c7d4b73b9a6d1993330ea5e174bca4c926c14130f736a3542672&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Config 高级查询介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497248&idx=1&sn=0c3592583eea9cf25e47dc1678f24105&chksm=c1c8bf72f6bf3664d06703a6da06988bae3fe5a4476c8f8dd41252b9f6fb28ccde5223248340&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497228&idx=1&sn=10491f8b670581cd5789dc5c51287094&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Config 介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497022&idx=1&sn=abc520eb33d498b36d074c9e487a84d6&chksm=c1c8bc6cf6bf357a129c4cd52bce57fb7a9ef601b1c303fc837deef4839e4bdcea4d3f066988&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon CDK v1 迁移到 v2 测试 下篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497013&idx=1&sn=c6726dad6d07f47b6bbae6695f4ee400&chksm=c1c8bc67f6bf357169de1c73679fd965115bd18f9f3866361d44ad87c5de17474fb20d243f52&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon CDK v1 项目迁移到 v2 测试 上篇](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496973&idx=1&sn=874c5624f18e4abea59575f413566523&chksm=c1c8bc5ff6bf3549bb13ec106226fe54876672b72ac96918e763ae14ed22cbedcec4e2221d3d&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Lambda 函数使用实例文章列表](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496941&idx=1&sn=da561bacc4f2f94a12e674014c719f33&chksm=c1c8bdbff6bf34a94dc1c205c2575d5c7417ef423c1a96bf7708d5fef64a7e653f6d455dba0a&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Lambda 启动任务再介绍](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496894&idx=1&sn=30bea4db31654e56e8c4167878d50d38&chksm=c1c8bdecf6bf34fab8828453e7176794d9ce65bee1d55f1e5ca930431c95e5aa1c0f832975ed&scene=21#wechat_redirect?trk=cndc-detail) | | [Amazon Lambda 函数 URLs 安全访问测试](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496880&idx=1&sn=23d8546f3d52977d5296831f38f0e9bb&chksm=c1c8bde2f6bf34f43ada9f8dfa9228fe5e57e76c3ba88e1b69dbbadb9f7ddc9e9397937984a2&scene=21#wechat_redirect?trk=cndc-detail) | ### 简介 本文承接《[Amazon Config rule 介绍](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497409\\&idx=1\\&sn=64cc71ee3ab78d9a45f77e4902b979ef\\&chksm=c1c8bf93f6bf3685508f72878c91e4441b0241b548a100278f8f6a62d1498475bfbcefd9f157\\&scene=21#wechat_redirect?trk=cndc-detail)》一文，介绍 Amazon Config Managed Rules，然后配置一个简单的 Config rule “ec2-volume-inuse-check”，测试 Config 发现没有挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 上的空闲 EBS（noncompliant 的资源）。 ### 目录 * Amazon Config Managed Rules 再介绍 * Config Managed Rule List * 实战步骤 1. 创建一个 EBS 2. 在 Config 中添加 rule 3. 检查 rule 评估结果 * 总结 * 后记 ### Amazon Config Managed Rules 再介绍 在《Amazon Config rule 介绍》一文中，我们提到以下两种 rule。 * Managed rule * Custom rule 其中 Managed rule 由亚马逊云科技创建，但用户可以做一些客制化，这里的客制化指的是用户可以部分控制 rule 的行为。 E.g. 定义 rule 的 scope 来控制评估的资源范围。比如利用 Tag 来控制 rule 需要评估的 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 或者 volume。 E.g. 设定某些的 rule 参数。比如通过 rule 参数可以设定 SG（security group）应该阻止某个端口的防问。 **注意**，在第二个例子中的 rule 只是**检查** SG 是否有配置禁止某个端口的访问规则，rule 本身不能控制在 SG 中某个端口的访问。rule 只是评估亚马逊云科技资源配置（configuration）的设置状态是否符合我们的期望。 #### Config Managed Rule List 亚马逊云科技预定义的 Config Managed Rule List 有很多，我们可以在官网找到的 rule 列表 List of Amazon Config Managed Rules  image-20240207145218927 点击 “ec2-volume-inuse-check” 可以进到这个 rule 的页面查看详细信息，我们下面将要测试的就是这个 rule。  image-20240207145407291 说明：这个 rule 主要是测试 EBS 是否挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 上（在用），如果发现没有挂载的 EBS，则这个 EBS 就会被评估为 noncompliant 资源。 ### 实战步骤 #### 1. 创建一个 EBS 我们先在 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 界面创建未挂载的一个 EBS。 在亚马逊云科技中控台选择 “[EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail)” 进入 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 界面，在左边点开 “Elastic Block Store” 选择 “Volumes”，然后在右上角点击 “Create volume”  image-20240207151152931 在创建 volume 页面，任一选择一个 Volume type，这里为 gp2，Size 写 5G 就可以，然后拖到最下面点击 “Create volume” 创建 EBS volume  image-20240207151526403 刷新一下，EBS 很快就建好了。  image-20240207151831377 #### 2. 在 Config 中添加 rule 首先我们要启动 Config，具体启动方法可以参考《[Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497228\\&idx=1\\&sn=10491f8b670581cd5789dc5c51287094\\&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af\\&scene=21#wechat_redirect?trk=cndc-detail)》一文。 通过亚马逊云科技中控台进入 Config 页面，可以看到默认情况下是没有启用任何 rule 的，所以这里 Compliance status 中的各个项都是0  image-20240207152436717 在页面左边点击 “Rules”，可以看到这个页面下的 rules 也是空的。 下面我们添加一个 rule “ec2-volume-inuse-check”。点击 “Add rule”  image-20240207152618274 选择 “Add Amazon managed rule”，在搜索框中搜索 “ec2-volume-inuse-check”，勾选搜索出来的 rule，然后点击 “Next”  image-20240207153238785 在 Configure rule 页面，我们不需要做改动，直接点击 “Next” 就可以了 但在这里我们可以看到 * “ec2-volume-inuse-check” 的 rule 评估模式（Evaluation Mode）和触发类型（Trigger types）都是不能更改的，说明这个 rule 只支持特定的情况（对于 rule 的这些细节也可以在亚马逊云科技官网 rule list 页面里查询到） * 在 Scope of change 中我们可以限制评估资源的范围（客制化）  image-20240207153609909 最后 review 页面点击 “Save”  image-20240207154146759 rule 添加完成  image-20240207154320545 #### 3. 检查 rule 评估结果 回到 Dashboard 页面，Compliance status 中的各项应该还是0。过个2，3分钟刷新页面，可以看到有内容出现了，我们点击 “1 Noncompliant rule(s)”  image-20240207154728048 说明: * 目前我的亚马逊云科技帐号里有两个 EBS，一个已经挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 中，另一个是我们上面新建的空闲 EBS，所以这里有两个资源显示，一个合规，一个不合规 * 目前亚马逊云科技帐号只有一个 “ec2-volume-inuse-check” rule，rule 检查范围中只要有一个资源不合规，那这个 rule 就属于 Noncompliant rule 进入 Rules 页面，这与从左边点击 Rules 进入的是同一个页面，现在这里可以看到 rule 显示有一个不合规的资源，再次点击这个 rule  image-20240207155156462 在 rule 的详细页面可以看到上一次 rule 运行（评估）的时间，以及具体哪个资源不合规  image-20240207155415205 ### 总结 Amazon managed rule 可以方便帮助我们更好的监控资源的配置使用情况，亚马逊云科技有大量的 managed rule 可以直接使用，足以应付一般使用。 另外，rule 只是监控资源状态，并不直接参与修改。有关修改（Remediation）的内容，我们将在下一篇文章中介绍。 ### 后记 春节过完了，大家 High 不 High，测试完记得删掉 EBS  image-20240207162038397 喜欢请点赞，禁止转载，转发请标明出处 关注 B 站 UP 主“我是手拉面” 观看更多视频 51CTO 博客 https\://blog.51cto.com/tansong?trk=cndc-detail 微信公众号“全是亚马逊云科技干货”   [](https://summit.amazoncloud.cn/2024/register.html?source=DSJAVfG2GS7gEk2Osm6kYXAa+8HnSEVdbCVjkuit7lE= )