> 文章作者:全是亚马逊云科技干货
![image.png](https://dev-media.amazoncloud.cn/159590f51fa940c08e406cdc447f3e00_image.png "image.png")
| 往期推荐 |
| ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| [Amazon Config rule 介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497409&idx=1&sn=64cc71ee3ab78d9a45f77e4902b979ef&chksm=c1c8bf93f6bf3685508f72878c91e4441b0241b548a100278f8f6a62d1498475bfbcefd9f157&scene=21#wechat_redirect?trk=cndc-detail) |
| [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 下篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497391&idx=1&sn=e750309e912a1b91c6b4feb6a682a104&chksm=c1c8bffdf6bf36eb8d6fe53fcbb9fc1e5780c1750f884844c8b2ef68f828db7033581ccda238&scene=21#wechat_redirect?trk=cndc-detail) |
| [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 上篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497349&idx=1&sn=ce6d4b6276a15650c4d5ea5c007e24f4&chksm=c1c8bfd7f6bf36c1536a62aacd313ec508fb2c0ec169eb2fa138eca956dd7908ef5e83b4247e&scene=21#wechat_redirect?trk=cndc-detail) |
| [利用 Amazon Config 高级查询删除有关联对象的 Security group](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497309&idx=1&sn=24580f7a6a6dcd169c0e8e3c1886c341&chksm=c1c8bf0ff6bf36194c27c97e6342da6f5499efa47a551b7042b6d99fbf06513544502d90797a&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Config 高级查询测试](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497276&idx=1&sn=2a69480b31e87d75ca06d530882324fb&chksm=c1c8bf6ef6bf3678ffc6e5b7c7d4b73b9a6d1993330ea5e174bca4c926c14130f736a3542672&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Config 高级查询介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497248&idx=1&sn=0c3592583eea9cf25e47dc1678f24105&chksm=c1c8bf72f6bf3664d06703a6da06988bae3fe5a4476c8f8dd41252b9f6fb28ccde5223248340&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497228&idx=1&sn=10491f8b670581cd5789dc5c51287094&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Config 介绍](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497022&idx=1&sn=abc520eb33d498b36d074c9e487a84d6&chksm=c1c8bc6cf6bf357a129c4cd52bce57fb7a9ef601b1c303fc837deef4839e4bdcea4d3f066988&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon CDK v1 迁移到 v2 测试 下篇](http://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247497013&idx=1&sn=c6726dad6d07f47b6bbae6695f4ee400&chksm=c1c8bc67f6bf357169de1c73679fd965115bd18f9f3866361d44ad87c5de17474fb20d243f52&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon CDK v1 项目迁移到 v2 测试 上篇](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496973&idx=1&sn=874c5624f18e4abea59575f413566523&chksm=c1c8bc5ff6bf3549bb13ec106226fe54876672b72ac96918e763ae14ed22cbedcec4e2221d3d&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Lambda 函数使用实例文章列表](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496941&idx=1&sn=da561bacc4f2f94a12e674014c719f33&chksm=c1c8bdbff6bf34a94dc1c205c2575d5c7417ef423c1a96bf7708d5fef64a7e653f6d455dba0a&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Lambda 启动任务再介绍](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496894&idx=1&sn=30bea4db31654e56e8c4167878d50d38&chksm=c1c8bdecf6bf34fab8828453e7176794d9ce65bee1d55f1e5ca930431c95e5aa1c0f832975ed&scene=21#wechat_redirect?trk=cndc-detail) |
| [Amazon Lambda 函数 URLs 安全访问测试](https://mp.weixin.qq.com/s?__biz=MzkyNTIxMjczMw==&mid=2247496880&idx=1&sn=23d8546f3d52977d5296831f38f0e9bb&chksm=c1c8bde2f6bf34f43ada9f8dfa9228fe5e57e76c3ba88e1b69dbbadb9f7ddc9e9397937984a2&scene=21#wechat_redirect?trk=cndc-detail) |
### 简介
本文承接《[Amazon Config rule 介绍](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497409\\&idx=1\\&sn=64cc71ee3ab78d9a45f77e4902b979ef\\&chksm=c1c8bf93f6bf3685508f72878c91e4441b0241b548a100278f8f6a62d1498475bfbcefd9f157\\&scene=21#wechat_redirect?trk=cndc-detail)》一文,介绍 Amazon Config Managed Rules,然后配置一个简单的 Config rule “ec2-volume-inuse-check”,测试 Config 发现没有挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 上的空闲 EBS(noncompliant 的资源)。
### 目录
* Amazon Config Managed Rules 再介绍
* Config Managed Rule List
* 实战步骤
1. 创建一个 EBS
2. 在 Config 中添加 rule
3. 检查 rule 评估结果
* 总结
* 后记
### Amazon Config Managed Rules 再介绍
在《Amazon Config rule 介绍》一文中,我们提到以下两种 rule。
* Managed rule
* Custom rule
其中 Managed rule 由亚马逊云科技创建,但用户可以做一些客制化,这里的客制化指的是用户可以部分控制 rule 的行为。
E.g. 定义 rule 的 scope 来控制评估的资源范围。比如利用 Tag 来控制 rule 需要评估的 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 或者 volume。
E.g. 设定某些的 rule 参数。比如通过 rule 参数可以设定 SG(security group)应该阻止某个端口的防问。
**注意**,在第二个例子中的 rule 只是**检查** SG 是否有配置禁止某个端口的访问规则,rule 本身不能控制在 SG 中某个端口的访问。rule 只是评估亚马逊云科技资源配置(configuration)的设置状态是否符合我们的期望。
#### Config Managed Rule List
亚马逊云科技预定义的 Config Managed Rule List 有很多,我们可以在官网找到的 rule 列表 List of Amazon Config Managed Rules
![image.png](https://dev-media.amazoncloud.cn/3903f7ddf82e430da862765ccc683bf2_image.png "image.png")
image-20240207145218927
点击 “ec2-volume-inuse-check” 可以进到这个 rule 的页面查看详细信息,我们下面将要测试的就是这个 rule。
![image.png](https://dev-media.amazoncloud.cn/95ce8f99155e41729e65962401bbde0c_image.png "image.png")
image-20240207145407291
说明:这个 rule 主要是测试 EBS 是否挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 上(在用),如果发现没有挂载的 EBS,则这个 EBS 就会被评估为 noncompliant 资源。
### 实战步骤
#### 1. 创建一个 EBS
我们先在 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 界面创建未挂载的一个 EBS。
在亚马逊云科技中控台选择 “[EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail)” 进入 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 界面,在左边点开 “Elastic Block Store” 选择 “Volumes”,然后在右上角点击 “Create volume”
![image.png](https://dev-media.amazoncloud.cn/bdcfea2047bb408e9d035ae4ca24c824_image.png "image.png")
image-20240207151152931
在创建 volume 页面,任一选择一个 Volume type,这里为 gp2,Size 写 5G 就可以,然后拖到最下面点击 “Create volume” 创建 EBS volume
![image.png](https://dev-media.amazoncloud.cn/8f7aff629ce446228ef349bd9cd58069_image.png "image.png")
image-20240207151526403
刷新一下,EBS 很快就建好了。
![image.png](https://dev-media.amazoncloud.cn/c25f91451f204a1399aec6b80e01efca_image.png "image.png")
image-20240207151831377
#### 2. 在 Config 中添加 rule
首先我们要启动 Config,具体启动方法可以参考《[Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497228\\&idx=1\\&sn=10491f8b670581cd5789dc5c51287094\\&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af\\&scene=21#wechat_redirect?trk=cndc-detail)》一文。
通过亚马逊云科技中控台进入 Config 页面,可以看到默认情况下是没有启用任何 rule 的,所以这里 Compliance status 中的各个项都是0
![image.png](https://dev-media.amazoncloud.cn/027900190e1c4c4a8ca138e769408a8d_image.png "image.png")
image-20240207152436717
在页面左边点击 “Rules”,可以看到这个页面下的 rules 也是空的。
下面我们添加一个 rule “ec2-volume-inuse-check”。点击 “Add rule”
![image.png](https://dev-media.amazoncloud.cn/4a9d55816310475dbafdd5850b7d8244_image.png "image.png")
image-20240207152618274
选择 “Add Amazon managed rule”,在搜索框中搜索 “ec2-volume-inuse-check”,勾选搜索出来的 rule,然后点击 “Next”
![image.png](https://dev-media.amazoncloud.cn/f941ac5e122a41e496a038c800fe2035_image.png "image.png")
image-20240207153238785
在 Configure rule 页面,我们不需要做改动,直接点击 “Next” 就可以了
但在这里我们可以看到
* “ec2-volume-inuse-check” 的 rule 评估模式(Evaluation Mode)和触发类型(Trigger types)都是不能更改的,说明这个 rule 只支持特定的情况(对于 rule 的这些细节也可以在亚马逊云科技官网 rule list 页面里查询到)
* 在 Scope of change 中我们可以限制评估资源的范围(客制化)
![image.png](https://dev-media.amazoncloud.cn/5a85d626a15d47bdb3ca5d6134ad1260_image.png "image.png")
image-20240207153609909
最后 review 页面点击 “Save”
![image.png](https://dev-media.amazoncloud.cn/7205f41391404532aa71958c4909b447_image.png "image.png")
image-20240207154146759
rule 添加完成
![image.png](https://dev-media.amazoncloud.cn/d3039b3a19554c5e9268c16245e40fef_image.png "image.png")
image-20240207154320545
#### 3. 检查 rule 评估结果
回到 Dashboard 页面,Compliance status 中的各项应该还是0。过个2,3分钟刷新页面,可以看到有内容出现了,我们点击 “1 Noncompliant rule(s)”
![image.png](https://dev-media.amazoncloud.cn/4af39cae8460476b9bb7bc9b803435e0_image.png "image.png")
image-20240207154728048
说明:
* 目前我的亚马逊云科技帐号里有两个 EBS,一个已经挂载到 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) 中,另一个是我们上面新建的空闲 EBS,所以这里有两个资源显示,一个合规,一个不合规
* 目前亚马逊云科技帐号只有一个 “ec2-volume-inuse-check” rule,rule 检查范围中只要有一个资源不合规,那这个 rule 就属于 Noncompliant rule
进入 Rules 页面,这与从左边点击 Rules 进入的是同一个页面,现在这里可以看到 rule 显示有一个不合规的资源,再次点击这个 rule
![image.png](https://dev-media.amazoncloud.cn/daa6f020a0704e789b8942c6e52c38ed_image.png "image.png")
image-20240207155156462
在 rule 的详细页面可以看到上一次 rule 运行(评估)的时间,以及具体哪个资源不合规
![image.png](https://dev-media.amazoncloud.cn/7dab98b581764cd8ab1e96f76d350f5c_image.png "image.png")
image-20240207155415205
### 总结
Amazon managed rule 可以方便帮助我们更好的监控资源的配置使用情况,亚马逊云科技有大量的 managed rule 可以直接使用,足以应付一般使用。
另外,rule 只是监控资源状态,并不直接参与修改。有关修改(Remediation)的内容,我们将在下一篇文章中介绍。
### 后记
春节过完了,大家 High 不 High,测试完记得删掉 EBS
![image.png](https://dev-media.amazoncloud.cn/126cea75f69e41d8889ee73dd9bec800_image.png "image.png")
image-20240207162038397
喜欢请点赞,禁止转载,转发请标明出处
关注 B 站 UP 主“我是手拉面” 观看更多视频
51CTO 博客 https\://blog.51cto.com/tansong?trk=cndc-detail
微信公众号“全是亚马逊云科技干货”
![image.png](https://dev-media.amazoncloud.cn/3333978f69724bb785ecd70bdd03d7d6_image.png "image.png")
![image.png](https://dev-media.amazoncloud.cn/88ad311d6cff46bda0df1c193894065d_image.png "image.png")
[![2.png](https://dev-media.amazoncloud.cn/d0b7a0a1514b480a94d1f0fe066e559e_2.png "2.png")](https://summit.amazoncloud.cn/2024/register.html?source=DSJAVfG2GS7gEk2Osm6kYXAa+8HnSEVdbCVjkuit7lE= )