Amazon Config rule 介绍

> 文章作者：全是亚马逊云科技干货  <!--StartFragment--> | **往期推荐** | | --- | | [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 下篇](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497391\\&idx=1\\&sn=e750309e912a1b91c6b4feb6a682a104\\&chksm=c1c8bffdf6bf36eb8d6fe53fcbb9fc1e5780c1750f884844c8b2ef68f828db7033581ccda238\\&scene=21#wechat_redirect?trk=cndc-detail) | | [ALB EC2 上配置 Apache shibboleth SSO 单点登录测试 上篇](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497349\\&idx=1\\&sn=ce6d4b6276a15650c4d5ea5c007e24f4\\&chksm=c1c8bfd7f6bf36c1536a62aacd313ec508fb2c0ec169eb2fa138eca956dd7908ef5e83b4247e\\&scene=21#wechat_redirect?trk=cndc-detail)| |[利用 Amazon Config 高级查询删除有关联对象的 Security group](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497309\\&idx=1\\&sn=24580f7a6a6dcd169c0e8e3c1886c341\\&chksm=c1c8bf0ff6bf36194c27c97e6342da6f5499efa47a551b7042b6d99fbf06513544502d90797a\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon Config 高级查询测试](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497276\\&idx=1\\&sn=2a69480b31e87d75ca06d530882324fb\\&chksm=c1c8bf6ef6bf3678ffc6e5b7c7d4b73b9a6d1993330ea5e174bca4c926c14130f736a3542672\\&scene=21#wechat_redirect?trk=cndc-detail)| |[Amazon Config 高级查询介绍](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497248\\&idx=1\\&sn=0c3592583eea9cf25e47dc1678f24105\\&chksm=c1c8bf72f6bf3664d06703a6da06988bae3fe5a4476c8f8dd41252b9f6fb28ccde5223248340\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497228\\&idx=1\\&sn=10491f8b670581cd5789dc5c51287094\\&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af\\&scene=21#wechat_redirect?trk=cndc-detail)| |[Amazon Config 介绍](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497022\\&idx=1\\&sn=abc520eb33d498b36d074c9e487a84d6\\&chksm=c1c8bc6cf6bf357a129c4cd52bce57fb7a9ef601b1c303fc837deef4839e4bdcea4d3f066988\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon CDK v1 迁移到 v2 测试 下篇](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497013\\&idx=1\\&sn=c6726dad6d07f47b6bbae6695f4ee400\\&chksm=c1c8bc67f6bf357169de1c73679fd965115bd18f9f3866361d44ad87c5de17474fb20d243f52\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon CDK v1 项目迁移到 v2 测试 上篇](https://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247496973\\&idx=1\\&sn=874c5624f18e4abea59575f413566523\\&chksm=c1c8bc5ff6bf3549bb13ec106226fe54876672b72ac96918e763ae14ed22cbedcec4e2221d3d\\&scene=21#wechat_redirect?trk=cndc-detail)| |[Amazon Lambda 函数使用实例文章列表](https://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247496941\\&idx=1\\&sn=da561bacc4f2f94a12e674014c719f33\\&chksm=c1c8bdbff6bf34a94dc1c205c2575d5c7417ef423c1a96bf7708d5fef64a7e653f6d455dba0a\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon Lambda 启动任务再介绍](https://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247496894\\&idx=1\\&sn=30bea4db31654e56e8c4167878d50d38\\&chksm=c1c8bdecf6bf34fab8828453e7176794d9ce65bee1d55f1e5ca930431c95e5aa1c0f832975ed\\&scene=21#wechat_redirect?trk=cndc-detail)| | [Amazon Lambda 函数 URLs 安全访问测试](https://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247496880\\&idx=1\\&sn=23d8546f3d52977d5296831f38f0e9bb\\&chksm=c1c8bde2f6bf34f43ada9f8dfa9228fe5e57e76c3ba88e1b69dbbadb9f7ddc9e9397937984a2\\&scene=21#wechat_redirect?trk=cndc-detail)| |[Amazon Lambda 函数 URLs 介绍](https://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247496845\\&idx=1\\&sn=236fbff55142d75c1556f8114bf8537e\\&chksm=c1c8bddff6bf34c93fd220cddeb8e6ac3c284203a36bbd4aea38baf194437d9be9e8eacc0a09\\&scene=21#wechat_redirect?trk=cndc-detail)| ### 简介 本文是《[Amazon Config 介绍](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497022\\&idx=1\\&sn=abc520eb33d498b36d074c9e487a84d6\\&chksm=c1c8bc6cf6bf357a129c4cd52bce57fb7a9ef601b1c303fc837deef4839e4bdcea4d3f066988\\&scene=21#wechat_redirect?trk=cndc-detail)》一文的扩展，介绍Config rule。 本文纯理论。 ### 目录 * Amazon Config rule 介绍 1. 什么是 Config rule 2. Config rule 类型 3. Config rule 评估模式与触发类型 4. Config 记录关闭对 Config rule 评估的影响 * 后记 ### Amazon Config 介绍 #### 1. 什么是 Config rule Config rule 用来评估亚马逊云科技资源的配置（configuration）状态，我们在 rule 中设定期望的亚马逊云科技资源状态，然后由 rule 进行评估判断。 Config 提供了客制化预定义的 rule，称为 managed rule，这些 rule 可以直接使用也可以做一定修改后使用。 Config 会持续追踪亚马逊云科技资源的配置变更（configuration changes）情况，并检查（评估）变更是否符合 rule 中设定的条件。如果资源与 rule 不符，那么 Config 会把资源和 rule 标志为 “noncompliant”。 ###### 资源检查（评估）后有以下几种结果 * `COMPLIANT` ：资源通过 rule 中条件的检查 * `NON_COMPLIANT` ：资源**未**通过 rule 中条件的检查 * `ERROR` ：某个必须或者选添参数无效，或者类型和格式不正确 * `NOT_APPLICABLE` ：过滤逻辑不适用。比如, alb-desync-mode-check rule 只能用于 ALB（Application Load Balancers）, 对于 NLB（Network Load Balancer）和 GLB（Gateway Load Balancer）就不适用 当我们创建 [EC2](https://aws.amazon.com/cn/ec2/?trk=cndc-detail) volume 的时候，Config 可以利用 rule 检查 volume 是否加密（encrypted），如果没加密，Config 就会把这个 volume 资源和相应的 rule标志为 “noncompliant”。 Config rule 还可以检查整个 Amazon account 内的资源情况，比如一个 account 内所有 volume 的总数是否在某个范围内，或者一个 account 是否启用了 Cloudtrail。 ###### Service-linked rules Service-linked rules 是一种特殊类型的 managed rule，它用于支持其它亚马逊云科技服务创建 Config rule。这些 rules 是预先定义好，包含了访问其它亚马逊云科技服务的必要权限。 这些 rules 由 Amazon service 组负责创建维护，对于这些 rules 我们只有读的权限，不能自行修改或者删除。 ###### 在 Config 网页控制台上，我们可以看到 rule 和资源的合规（compliance）情况，如下图所示  image-20230711164724831 **我们点击不合规的 rules 进入 rules 页面**  image-20230711164921173 可以看到所有不合规的 rules。 我们再点击一条 “securityhub-ecr-private-image-scanning-enabled-1d”  image-20230711165539152 可以看到这个 rule 的具体信息——检查 ECR 仓库是否启动了镜像扫描、检查条件以及涉及到哪些有问题的 ECR  image-20230711165516086 说明：这条 Service-linked rule 用来检查 ECR 是否启用了镜像扫描 ``` Description This control checks whether a private ECR repository has image scanning enabled. This control fails if a private ECR repository has image scanning disabled. ``` #### 2. Config rule 类型 config rule 分为两大类 * Managed rule * Custom rule 我们在前面介绍的是 Managed rule，由亚马逊云科技创建，但用户可以做一些客制化（Service-linked rule 除外），还有一种是 Custom rule，完全由用户创建。 有两种方法创建 Custom rule * 利用 Lambda 函数创建的 Custom rule，称为 “Amazon Config Custom Lambda Rule” * 由 Guard（policy-as-code 语言 Guard GitHub Repository）创建，称为 “Amazon Config Custom Policy Rule” #### 3. Config rule 评估模式与触发类型 ##### Config rule 评估模式（Evaluation Mode） 当我们使用 Config rule 的时候，我们可以指定 rule 在什么时间对资源进行评估。 * proactive evaluation 主动评估：在亚马逊云科技资源部署之**前**进行评估 * detective evaluation 探测评估：在亚马逊云科技资源部署之**后**进行评估 * 同时启用上述两种评估 ##### 触发类型（Trigger types） 触发类型用来控制何时对资源进行评估。当我们启动某个 rule 后，Config 会启动第一次资源评估，之后 Config 会按照 rule 中设定的触发类型对资源进行后续的评估。 ###### 触发类型有以下三类 * 配置变更（Configuration changes） 当符合 rule 条件的某个亚马逊云科技资源发生改动时，Config 会发送一个配置项（CI，configuration item）改变的通知，随后会启动评估动作。 我们通过定义 rule 的 scope 来控制评估的资源范围，定义 scope 时可以用以下信息 当资源有改动，并且符合 rule 中定义的 scope 时，config 就对该资源进行评估。 * 一种或几种资源类型 * 一种资源类型和一个资源 ID 的组合 * Tag 键值组合 * 按启动了config 的资源的创建、修改或者删除的时间 * 周期（Periodic） 以固定的周期进行评估，比如每24小时 * 混合类型（Hybrid） 有一些 rules 即可以由配置变更触发，也可以由周期触发 #### 4. Config 记录关闭对 Config rule 评估的影响 我们在《[Amazon Config 启动及资源信息查看测试](http://mp.weixin.qq.com/s?\\__biz=MzkyNTIxMjczMw==\\&mid=2247497228\\&idx=1\\&sn=10491f8b670581cd5789dc5c51287094\\&chksm=c1c8bf5ef6bf3648684d391607acb3a70d3609bd09a98518f94731745d3f491d37a4201b69af\\&scene=21#wechat_redirect?trk=cndc-detail)》中介绍过使用 Config 首先要启动 Config 记录（recorder），这样所有资源的配置变更才会被记录下来。 那么，如果我们启动了 config rule 之后又把 Config 记录关闭了，这时会出现什么情况？ 1. 周期（Periodic）触发类型的 rule 还是按指定的频率继续运行 2. 配置变更（Configuration changes）触发类型的 rule 将不再运行 3. 混合类型（Hybrid）触发类型的 rule 将只按指定的周期运行 4. 手工运行的 rule 评估只会针对最近一次的记录进行评估 虽然周期（Periodic）触发类型的 rule 还是会照常运行，但因为 Config 不再记录新的变动，所以这些评估已经无效。所以在关闭 Config 记录的情况下，需要删除周期（Periodic）触发类型和混合类型（Hybrid）触发类型的 rule，以免造成不必要的浪费。 ### 后记 给大家拜个晚年，新春快乐，身体健康！ 喜欢请点赞，禁止转载，转发请标明出处 关注 B 站 UP 主“我是手拉面” 观看更多视频 51CTO 博客 https\://blog.51cto.com/tansong?trk=cndc-detail 微信公众号“全是亚马逊云科技干货”   [](https://summit.amazoncloud.cn/2024/register.html?source=DSJAVfG2GS7gEk2Osm6kYXAa+8HnSEVdbCVjkuit7lE= )