AWS Config Engine for Compliance-as-Code 使用教程
1. 项目的目录结构及介绍
aws-config-engine-for-compliance-as-code/
├── README.md
├── rules/
│ └── COMPLIANCE_RULESET_LATEST_INSTALLED/
│ └── COMPLIANCE_RULESET_LATEST_INSTALLED.py
├── rulesets-built/
├── compliance-account-initial-setup.yaml
└── ...
- README.md: 项目介绍和使用说明。
- rules/: 包含所有合规规则的目录。
- COMPLIANCE_RULESET_LATEST_INSTALLED/: 特定合规规则集的目录。
- COMPLIANCE_RULESET_LATEST_INSTALLED.py: 合规规则的具体实现。
- COMPLIANCE_RULESET_LATEST_INSTALLED/: 特定合规规则集的目录。
- rulesets-built/: 预构建的规则集目录。
- compliance-account-initial-setup.yaml: 合规账户初始设置文件。
2. 项目的启动文件介绍
项目的启动文件主要是 compliance-account-initial-setup.yaml
,这是一个AWS CloudFormation模板,用于在合规账户中初始化设置。
主要配置项
- MainRegion: 部署模板的区域。
- RoleNameCodePipeline: CodePipeline角色的名称。
- CodePipelineName: CodePipeline的名称。
- FirehoseName: Firehose的名称,用于记录所有规则的评估。
3. 项目的配置文件介绍
项目的配置文件主要位于 rules/
目录下的各个合规规则文件中。以 COMPLIANCE_RULESET_LATEST_INSTALLED.py
为例:
主要配置项
- DEFAULT_TEMPLATE: 默认模板的名称。
- ROLE_NAME_CODEPIPELINE: CodePipeline角色的ARN。
- CODEPIPELINE_NAME: CodePipeline的名称。
- FIREHOSE_NAME: Firehose的名称。
- DEFAULT_RESOURCE_TYPE: 默认资源类型。
- ASSUME_ROLE_MODE: 是否启用跨账户角色假设模式。
主要函数
- evaluate_compliance(event, context, configuration_item, valid_rule_parameters): 评估合规性的主要函数。
以上是 AWS Config Engine for Compliance-as-Code
项目的目录结构、启动文件和配置文件的介绍。希望这份文档能帮助你更好地理解和使用该项目。