AWS配置服务-在所有区域实施规则

Question

我需要确保AWS中的策略合规性(例如，安全组)。我已经使用AWS配置服务和lambda函数做了同样的事情。但是，AWS配置服务是特定于区域的，因此需要在所有区域中定义规则。这使得维护它变得单调乏味。关于如何处理这个问题，有什么替代方案吗？

Answer 1

AWS Config是特定于区域的，您必须在其他区域/帐户中复制您的规则。但是，您可以拥有中心帐户中各个源帐户中的所有规则的聚合视图。但那只是为了观赏。

Answer 2

看看我们的开源项目-- (Policy as Code Bot)。

作为代码机器人的

策略(PacBot)是一个用于持续合规性监控、合规性报告和云安全自动化的平台。在PacBot中，安全性和遵从性策略是以代码形式实现的。PacBot发现的所有资源都将根据这些策略进行评估，以衡量策略的一致性。PacBot自动修复框架提供了通过采取预定义的操作自动响应违反策略的功能。PacBot包含强大的可视化功能，它提供了合规性的简化视图，并使分析和修复策略违规变得容易。PacBot不仅仅是一个管理云错误配置的工具，它还是一个通用平台，可用于对任何域进行持续的合规性监控和报告。

https://www.youtube.com/embed/_WnuSU5tfcs

https://github.com/tmobile/pacbot

Answer 3

在主账户中设置AWS组织，将所有其他账户添加为子账户。然后，您可以使用CLI来放入-organization-config-rules。

这些规则不能有修正，并且不能在子帐户中编辑。将相同的配置规则部署到多个帐户仍然是一种更简单的解决方案。

我不熟悉它是如何跨区域工作的。