是否可以通过 SDK 按需运行托管 AWS Config 规则(例如https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html )?
场景:作为一名顾问,我想轻松评估客户的环境,而无需花费时间将所有 AWS Config 规则应用于我的客户环境。相反,我想使用 SDK 快速执行许多规则并返回结果。
这可能吗?
问问题
82 次
1 回答
0
云托管
对于临时执行,您可能最好改为评估Cloud Custodian 。当我之前尝试过这个时,我对通过最少的部署获得的直接价值印象深刻。
执行的临时性质可以受益,因为您可以运行仅报告操作,或者如果您需要,实际上可以创建 lambda 函数以在某些情况下进行修复。
该工具是跨平台的,也是 dockerized,并且大部分规则配置都是基于 yaml 的,支持 AWS Config、Security Hub、AWS SSM 等。
如果您查看AWS 中的运行您的第一个策略部分,您会发现它可以很简单:
AWS_ACCESS_KEY_ID="foo" AWS_SECRET_ACCESS_KEY="bar" custodian run --output-dir=. custodian.yml
有一个非常广泛的示例策略列表,其中包括以下项目
AWS 配置集成
- 可以部署为配置支持的任何资源类型的配置规则。
- 可以使用 config 作为资源数据库,而不是查询 service describe api。Custodian 支持使用 Config 的 SQL 表达式语言查询服务器端资源。
- 可以根据资源是否符合一个或多个配置规则来过滤资源。
- 可以针对 cloudformation 支持的任何资源类型部署为配置轮询规则。来源:AWS 配置集成
它也支持自定义配置规则。
注意:我没有参与该项目,只是发现它对您描述的类似情况很有用且很有希望。似乎减少了从几项 AWS 服务中获取价值所需的大量“DevOps 管道”,所需的服务特定知识和设置要少得多。
于 2020-10-13T17:17:23.010 回答