本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开启 AWS Config 规则的主动评估
您可以使用 AWS Config 控制台或开 AWS SDKs 启主动评估规则。有关支持主动评估的资源类型和托管规则列表,请参阅[规则的组成部分 \| 评估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)。
**Topics**
+ [使用控制台](#evaluate-config_turn-on-proactive-rules-console)
+ [使用 AWS SDKs](#evaluate-config_turn-on-proactive-rules-cli)
## 开启主动评估(控制台)
**规则**页面在一个表中显示您的规则及其当前的合规性结果。每条规则的结果都是 “正在**评估...**” 直到根据规则 AWS Config 完成对您的资源进行评估。您可以使用刷新按钮更新结果。
AWS Config 完成评估后,您可以看到合规或不合规的规则和资源类型。有关更多信息,请参阅 [使用查看 AWS 资源的合规信息和评估结果 AWS Config](evaluate-config_view-compliance.md)。
**注意**
AWS Config 仅评估其记录的资源类型。例如,如果您添加了**启用 cloudtra** il 的规则,但未记录 CloudTrail 跟踪资源类型,则 AWS Config 无法评估您账户中的跟踪是合规还是不合规。有关更多信息,请参阅 [使用录制 AWS 资源 AWS Config注意事项](select-resources.md)。
### 开启主动评估
可以使用*主动评估*在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 AWS 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。
[资源类型架构](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-schema.html)说明了资源的属性。您可以在 AWS CloudFormation 注册表的 “*AWS 公共扩展*” 中找到资源类型架构,也可以使用以下 CLI 命令找到:
```
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type {{RESOURCE}}
```
有关更多信息,请参阅《 AWS CloudFormation 用户指南[》中参考的通过 CloudFormation 注册表管理扩展](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry.html#registry-view)[以及AWS 资源和属性类型](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html)。
**注意**
主动规则不会修复标记为 NON\_COMPLIANT 的资源,也不会阻止部署这些资源。
**开启主动评估**
1. 登录 AWS 管理控制台 并在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 在 AWS 管理控制台 菜单中,确认区域选择器设置为支持 AWS Config 规则的区域。有关支持的 AWS 区域的列表,请参阅《Amazon Web Services 一般参考**》中的 [AWS Config 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#awsconfig_region)。
1. 在左侧导航窗格中,选择 **Rules**。有关支持主动评估的托管规则[列表,请参阅按评估模式列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。
1. 选择规则,然后为要更新的规则选择**编辑规则**。
1. 对于**评估模式**,选择**开启主动评估**,以允许您在部署资源之前对资源的配置设置进行评估。
1. 选择**保存**。
开启主动评估后,您可以使用 [StartResourceEvaluation](https://docs.aws.amazon.com/config/latest/APIReference/API_StartResourceEvaluation.html)API 和 [GetResourceEvaluationSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceEvaluationSummary.html)API 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。
例如,从 StartResourceEvaluation API 开始:
```
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
--resource-details '{"ResourceId":"{{MY_RESOURCE_ID}}",
"ResourceType":"{{AWS::RESOURCE::TYPE}}",
"ResourceConfiguration":"{{RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA}}",
"ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
```
您应该会在输出中收到 `ResourceEvaluationId`:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}
```
然后,使用`ResourceEvaluationId`带有 GetResourceEvaluationSummary API 的来检查评估结果:
```
aws configservice get-resource-evaluation-summary
--resource-evaluation-id {{MY_RESOURCE_EVALUATION_ID}}
```
您应收到类似以下内容的输出:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
"EvaluationMode": "PROACTIVE",
"EvaluationStatus": {
"Status": "SUCCEEDED"
},
"EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
"Compliance": "COMPLIANT",
"ResourceDetails": {
"ResourceId": "MY_RESOURCE_ID",
"ResourceType": "AWS::RESOURCE::TYPE",
"ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
}
}
```
要查看有关评估结果的更多信息,例如哪条规则将资源标记为 “不合规”,请使用 API。[GetComplianceDetailsByResource](https://docs.aws.amazon.com/config/latest/APIReference/API_GetComplianceDetailsByResource.html)
## 开启主动评估 (AWS SDKs)
### 开启主动评估(AWS CLI)
可以使用*主动评估*在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 AWS 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。
[资源类型架构](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-schema.html)说明了资源的属性。您可以在 AWS CloudFormation 注册表的 “*AWS 公共扩展*” 中找到资源类型架构,也可以使用以下 CLI 命令找到:
```
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type {{RESOURCE}}
```
有关更多信息,请参阅《 AWS CloudFormation 用户指南[》中参考的通过 CloudFormation 注册表管理扩展](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry.html#registry-view)[以及AWS 资源和属性类型](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html)。
**注意**
主动规则不会修复标记为 NON\_COMPLIANT 的资源,也不会阻止部署这些资源。
**开启主动评估**
使用 [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-config-rule.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-config-rule.html) 命令并为 `EvaluationModes` 启用。`PROACTIVE`
开启主动评估后,您可以使用 [start-resource-evaluation](https://docs.aws.amazon.com/cli/latest/reference/configservice/start-resource-evaluation.html)CLI 命令和 CL [get-resource-evaluation-summary](https://docs.aws.amazon.com/cli/latest/reference/configservice/get-resource-evaluation-summary.html)I 命令来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 NON\_COMPLIMITY。
例如,先使用 **start-resource-evaluation** 命令:
```
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
--resource-details '{"ResourceId":"{{MY_RESOURCE_ID}}",
"ResourceType":"{{AWS::RESOURCE::TYPE}}",
"ResourceConfiguration":"{{RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA}}",
"ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
```
您应该会在输出中收到 `ResourceEvaluationId`:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}
```
然后,将 `ResourceEvaluationId` 和 **get-resource-evaluation-summary** 结合使用来检查评估结果:
```
aws configservice get-resource-evaluation-summary
--resource-evaluation-id {{MY_RESOURCE_EVALUATION_ID}}
```
您应收到类似以下内容的输出:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
"EvaluationMode": "PROACTIVE",
"EvaluationStatus": {
"Status": "SUCCEEDED"
},
"EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
"Compliance": "COMPLIANT",
"ResourceDetails": {
"ResourceId": "MY_RESOURCE_ID",
"ResourceType": "AWS::RESOURCE::TYPE",
"ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
}
}
```
[要查看有关评估结果的其他信息,例如哪条规则将资源标记为 “不合规”,请使用-get-compliance-details-by resource CLI 命令。](https://docs.aws.amazon.com/cli/latest/reference/configservice/get-compliance-details-by-resource.html)
**注意**
有关支持主动评估的托管规则[列表,请参阅按评估模式列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。
### 开启主动评估(API)
可以使用*主动评估*在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 AWS 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。
[资源类型架构](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-schema.html)说明了资源的属性。您可以在 AWS CloudFormation 注册表的 “*AWS 公共扩展*” 中找到资源类型架构,也可以使用以下 CLI 命令找到:
```
aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type {{RESOURCE}}
```
有关更多信息,请参阅《 AWS CloudFormation 用户指南[》中参考的通过 CloudFormation 注册表管理扩展](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry.html#registry-view)[以及AWS 资源和属性类型](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html)。
**注意**
主动规则不会修复标记为 NON\_COMPLIANT 的资源,也不会阻止部署这些资源。
**为规则开启主动评估**
使用[PutConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigRule.html)操作并启`PROACTIVE`用`EvaluationModes`。
开启主动评估后,您可以使用 [StartResourceEvaluation](https://docs.aws.amazon.com/config/latest/APIReference/API_StartResourceEvaluation.html)API 和 [GetResourceEvaluationSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceEvaluationSummary.html)API 来检查您在这些命令中指定的资源是否会被您所在地区的账户中的主动规则标记为 “不合规”。例如,从 StartResourceEvaluation API 开始:
```
aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
--resource-details '{"ResourceId":"{{MY_RESOURCE_ID}}",
"ResourceType":"{{AWS::RESOURCE::TYPE}}",
"ResourceConfiguration":"{{RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA}}",
"ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'
```
您应该会在输出中收到 `ResourceEvaluationId`:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}
```
然后,使用`ResourceEvaluationId`带有 GetResourceEvaluationSummary API 的来检查评估结果:
```
aws configservice get-resource-evaluation-summary
--resource-evaluation-id {{MY_RESOURCE_EVALUATION_ID}}
```
您应收到类似以下内容的输出:
```
{
"ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
"EvaluationMode": "PROACTIVE",
"EvaluationStatus": {
"Status": "SUCCEEDED"
},
"EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
"Compliance": "COMPLIANT",
"ResourceDetails": {
"ResourceId": "MY_RESOURCE_ID",
"ResourceType": "AWS::RESOURCE::TYPE",
"ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
}
}
```
要查看有关评估结果的更多信息,例如哪条规则将资源标记为 “不合规”,请使用 API。[GetComplianceDetailsByResource](https://docs.aws.amazon.com/config/latest/APIReference/API_GetComplianceDetailsByResource.html)
**注意**
有关支持主动评估的托管规则[列表,请参阅按评估模式列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。