Terminología Personalización de la plantilla

Creación de plantillas para paquetes de conformidad personalizados para AWS Config

Un paquete de conformidad personalizado es un conjunto único de reglas de AWS Config y acciones de corrección que se puede implementar fácilmente en una cuenta y una región de AWS o en una organización en AWS Organizations.

Para crear un paquete de conformidad personalizado, siga los pasos de la siguiente sección Personalización de la plantilla para crear un archivo YAML que incluya la lista de reglas de AWS Config administradas o las reglas personalizadas de AWS Config con las que quiere trabajar.

Terminología

Las reglas administradas de AWS Config son reglas predefinidas propiedad de AWS Config.

Las reglas personalizadas de AWS Config son reglas que se crean desde cero.

Hay dos formas de crear reglas personalizadas de AWS Config: con las funciones de Lambda (Guía para desarrolladores de AWS Lambda) y con Guard (Guard GitHub Repository), un lenguaje de políticas como código. Las reglas personalizadas de AWS Config creadas con AWS Lambda se denominan reglas de Lambda personalizadas de AWS Config y las reglas personalizadas de AWS Config creadas con Guard se denominan reglas de políticas personalizadas de AWS Config.

Personalización de la plantilla

Crear el archivo YAML

Para crear un archivo YAML, abra un editor de texto y guarde el archivo como .yaml.

nota

El archivo incluirá una sección Parámetros y una Recursos.

Parámetros

La sección Parameters del archivo YAML corresponde a los parámetros de regla del conjunto de reglas de AWS Config que añadirá más adelante en la sección Resources. Cree la sección Parameters copiando y pegando el siguiente bloque de código en su archivo YAML, personalizándolo según sea necesario y repitiéndolo para cada parámetro de la regla.


Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

Por ejemplo:


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String

nota

Al seleccionar las reglas de AWS Config para crear el paquete de conformidad personalizado, compruebe que tiene los recursos aprovisionados en su cuenta y que se evaluarán en función de las reglas de AWS Config.

La primera línea de la sección de parámetros después de Parameters: es una cadena concatenada NameOfRule + Param + NameOfRuleParameter.
1. Sustituya NameOfRule por un nombre coherente que haya creado para la regla. Por ejemplo, podría ser IamPasswordPolicy para la regla iam-password-policy.
2. Tipo Param.
3. A continuación, sustituya NameOfRuleParameter por el nombre del parámetro de la regla especificada. En el caso de las reglas de AWS Config administradas, el nombre del parámetro de regla está en la lista de reglas de AWS Config administradas (por ejemplo, MinimumPasswordLength es el nombre de un parámetro de regla para la regla iam-password-policy). En el caso de las reglas personalizadas de AWS Config, el nombre del parámetro de regla es el nombre elegido al crear la regla.
Si utiliza una regla administrada de AWS Config, busque la regla de AWS Config adecuada en la lista de reglas administradas para conocer los valores aceptados para Default y Type para su regla en particular. En el caso de las reglas personalizadas de AWS Config, utilice los valores seleccionados al crear la regla.

nota
Para cada parámetro debe especificar Type. Type puede ser String, int, double, CSV, boolean y StringMap.

Recursos

En la sección Resources se enumeran las reglas que se van a añadir al paquete de conformidad personalizado. Añada el siguiente bloque Resources directamente debajo de la sección Parameters, personalícelo según sea necesario y repítalo para cada regla. Para obtener más información sobre las especificaciones, consulte AWS::Config::ConfigRule.


Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: !Ref NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

Por ejemplo:


Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule

nota

Al seleccionar las reglas de AWS Config para crear el paquete de conformidad personalizado, compruebe que dispone de los recursos que se evaluarán para las reglas de AWS Config aprovisionadas en su cuenta. Para obtener más información, consulte Tipos de recursos admitidos.

Sustituya NameOfRule por el mismo nombre creado en la sección Parameters.
En el caso de las reglas administradas de AWS Config, sustituya ActualConfigRuleName por el título de la página de reglas correspondiente en la Lista de reglas administradas de AWS Config. Para las reglas personalizadas de AWS Config, use el nombre de la regla de Config elegido al crear la regla.
Sustituya NameOfRuleParameter por el mismo nombre usado en la sección Parameters. Después de los dos puntos, copie y pegue la misma cadena concatenada de !Ref + NameOfRule + Param + NameOfRuleParameter que creó en la sección Parameters.
Cambie Owner por el valor adecuado.

nota
Reglas de AWS Config administradas
En el caso de las reglas de AWS Config administradas, el valor de Owner será AWS.
Reglas personalizadas de AWS Config
En el caso de las reglas personalizadas de AWS Config creadas con Guard, el valor de Owner será CUSTOM_POLICY. En el caso de las reglas personalizadas de AWS Config creadas con Lambda, el valor de Owner será CUSTOM_LAMBDA.
Cambie SOURCE_IDENTIFIER por el valor adecuado.

nota
Reglas de AWS Config administradas
En el caso de las reglas de AWS Config administradas, copie el identificador siguiendo el enlace de la regla que seleccione en la Lista de reglas de AWS Config administradas (por ejemplo, el identificador de origen de la regla access-keys-rotated es ACCESS_KEYS_ROTATED). 
Reglas personalizadas de AWS Config
Para las reglas personalizadas de AWS Config creadas con Lambda, el SourceIdentifier es el nombre de recurso de Amazon (ARN) de la función de AWS Lambda de la regla, como arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName. Para las reglas personalizadas de AWS Config creadas con Guard, este campo no es necesario.

En conjunto, el paquete de conformidad personalizado que ha rellenado debería empezar a tener un aspecto similar al siguiente, que es un ejemplo en el que se utilizan estas reglas de AWS Config administradas: iam-password-policy, access-keys-rotated e iam-user-unused-credentials-check


Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: !Ref IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: !Ref AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: !Ref IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Plantillas de ejemplo con acción de corrección

Implementación de paquetes de conformidad