由于安全性的原因，不同的企业和组织必须遵守不同的数据合规性要求和法规。拥有Amazon S3中数据的客户对不合规的Amazon S3 Bucket手动执行了补救措施。这包括编写和维护定期运行的脚本，以检查不符合要求的Amazon S3存储桶，并在必要时采取补救措施。随着应用程序的成熟，管理脚本的复杂性也随之增加。由于必须更新脚本并维护其服务器，因此很耗时。

在此博客中，我们介绍了设置Amazon Config托管规则以识别未启用版本控制的Amazon S3 存储桶的步骤。我们还将通过使用Amazon Systems Manager（SSM）自动化文档在Amazon S3存储桶上配置版本控制来实施Amazon Config自动修复。有关如何利用Amazon Config来管理日志，加密和读/写访问的Amazon S3遵从性的更多信息，请扫描下方二维码查看此博客文章。

解决方案概述

关于合规性，Amazon Config允许您跟踪AWS资源的配置及其与其他资源的关系。Amazon Config通过使用Amazon Config规则根据所需配置评估亚马逊云科技资源。这些规则通过持续监控您的亚马逊云科技资源配置来检查您的资源是否符合要求。使用Amazon Config，您可以使用Amazon Systems Manager Automation文档编写补救措施，并将它们打包到一个可在您的亚马逊云科技组织中轻松部署的一致性包中。

Amazon S3版本控制是在同一Amazon S3存储桶中保留对象的多个版本的过程。Amazon S3版本控制保留存储在存储桶中的每个对象的每个版本。它可用于保护对象免受意外的用户操作，例如意外删除或覆盖。无论哪种情况，都可以随时还原以前的版本。这有助于对Amazon S3存储桶中的资源进行审核和合规性。

先决条件

1. 按照此处的说明启用Amazon Config。

   https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html

2. 您需要一个已经存在的Amazon S3存储桶，才能执行本教程中的步骤。请按照此处的说明创建Amazon S3存储桶。

   https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html

解决方案教程

• 登录到亚马逊云科技管理控制台，然后打开Amazon Config控制台。

• 在左侧窗格中，选择“Rules”，然后选择“Add Rule”。

• 在搜索框中，键入“s3-bucket-versioning-enabled”，然后选择标题为“ s3-bucket-versioning-enabled”的规则。

• 控制台会将您重定向到添加亚马逊云科技托管规则。填写规则的名称和描述。

• 设置适当的触发器。有关设置触发器的更多信息，请参阅此文档。

  https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html

• 在“Parameters”部分中，输入参数的值，例如AutomationAssumeRole，BucketName和VersioningState。

• 在“Remediation action”下，选择“ AWS-ConfigureS3BucketVersioning”，然后为“Auto remediation”选择“Yes”。

• 选择保存，现在您可以查看启用了s3-bucket-versioning的Amazon Config规则。

此时，您设置的Amazon Config规则会自动修复不符合要求的资源。您可以在“Rule Detauls”页面上检查结果。

自动修复之后，您可以到Amazon S3控制台并检查单个对象是否具有多个版本ID来验证是否启用了版本控制。以下屏幕截图显示了为Amazon S3存储桶启用的版本控制：

结论

在本文中，我们介绍了如何使用适用于Amazon Config规则的Amazon Config自动修复功能在不兼容的Amazon S3资源上自动启用Amazon S3版本控制。您也可以使用现有的SSM文档或自定义SSM文档，使用Amazon Config规则维护其他亚马逊云科技资源的合规性。通过此解决方案，您无需编写自己的管理脚本，就可以自动化资源配置的标准化。随着系统的发展，资源配置的自动化将有助于减少维护标准化资源配置的开销。

本篇作者

徐欣蕾

专业服务团队顾问

听说，点完下面4个按钮

就不会碰到bug了！