发布于: Aug 2, 2022
AWS Config 现在支持使用 AWS CloudFormation Guard (cfn-guard) 更轻松地编写自定义 AWS Config 规则。通过此次发布,编程经验有限的用户也可以使用 Guard 定义和查看自定义策略,检查您的资源是否具有所需的配置。AWS Config 规则是针对资源配置,创建和实施合规性策略的一种方法。目前,AWS Config 提供了托管规则和自定义规则,前者由 AWS 构建和维护以满足常见的合规性使用案例,后者由用户创建以满足其特定的合规性需求。Guard 是一个开源工具,提供策略即代码,因此用户可以定义策略,使用域特定语言 (DSL) 验证 JSON 或 YAML 格式的数据。
以前,要创建自定义规则,必须定义 AWS Lambda 函数,通常使用 Java 或 Python 等语言。现在,您可以使用 Guard DSL 编写 AWS Config 自定义规则,而无需开发 AWS Lambda 函数。安全和合规性管理员有一种更简单的方法来编写自定义逻辑,以反映您的组织为自身定义的合规性需求。
首先,您可以使用 AWS Config 控制台,通过“添加规则”工作流,创建自己的 AWS Config 规则。在部署之前,将验证规则逻辑的正确性,这样您就不必对过大的配置项或已删除的资源执行错误检查;Guard 还简化了在您的账户中放置规则的权限。因此,AWS Config 规则使用 Guard 避免了规则编写的复杂性,减少了规则的总体开发时间。规则部署完成后,您将能够根据 AWS Config 中的规则评估,查看资源合规状态的日志。