问题描述
是否可以通过SDK按需运行托管的AWS Config规则(例如https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)?
场景: 作为一名顾问,我想轻松地评估客户的环境,而无需花费时间将所有AWS Config规则应用于客户的环境。相反,我想使用SDK快速执行许多规则并取回结果。
这可能吗?
解决方法
云托管人
对于临时执行,最好通过评估Cloud Custodian为您服务。当我以前尝试过这种方法时,我对最小化部署所能获得的立即价值印象深刻。
执行的自组织特性可以使您受益,因为您可以运行仅报告操作,或者实际上可以创建lambda函数来在某些情况下(如果需要)进行补救。
该工具是跨平台的,也经过docker化,并且规则的大多数配置都基于yaml,支持AWS Config,Security Hub,AWS SSM等。
如果您查看Run Your First Policy section in AWS,就会发现它很简单:
AWS_ACCESS_KEY_ID="foo" AWS_SECRET_ACCESS_KEY="bar" custodian run --output-dir=. custodian.yml
example-policies的清单非常广泛,其中包括诸如
AWS Config集成
- 对于config支持的任何资源类型,都可以作为config-rule部署。
- 可以将config用作资源数据库,而不用查询服务描述api。保管人通过Config的SQL表达式语言支持服务器端查询资源。
- 可以根据对一个或多个配置规则的符合性来过滤资源。
- 可以针对cloudformation支持的任何资源类型作为config-poll规则进行部署。 来源:AWS Config Integration
它也支持自定义配置规则。
注意:我没有参与该项目,只是发现它对您所描述的类似情况很有用且很有希望。似乎减少了从多个AWS服务中获取价值所需的大量“ DevOps管道”,而所需的服务特定知识和设置要少得多。