AWS Config 是一项服务,您可以使用该服务评估、审核和评估您的 AWS 资源的配置。Config 持续监控和记录您的 AWS 资源配置,并支持您自动依据配置需求评估记录的配置。借助 Config,您可以查看配置更改以及 AWS 资源之间的关系、深入探究详细的资源配置历史记录,并判断您的配置在整体上是否符合内部指南中所指定的配置要求。如此一来,您将能够简化合规性审核、安全性分析、变更管理和操作故障排除。

持续监控

借助 AWS Config,您可以持续监控和记录您 AWS 资源的配置更改。您还能使用 Config 随时盘点您的 AWS 资源、AWS 资源的配置以及 EC2 实例中的软件配置。一旦检测到原有状态发生了更改,系统将向您发送 Amazon Simple Notification Service (SNS) 通知,以便您查看更改并采取相应措施。 

持续评估

AWS Config 允许您持续审核和评估您的 AWS 资源配置是否在整体上符合您所在组织的策略和指南中所指定的要求。您还能使用 Config 定义预置和配置 AWS 资源的规则。违反规则的资源配置或配置更改会自动触发系统发送 Amazon Simple Notification Service (SNS) 通知,从而帮助您找出哪些方面未实现合规性。您还可以利用可视化控制面板来查看您的整体合规性状态并快速识别不合规的资源。

变更管理

借助 AWS Config,您可以跟踪资源之间的关系,并在进行更改之前查看资源依赖关系。发生更改后,您可以快速查看资源的配置历史记录,并确定过去任一时间点上的资源配置详情。Config 会向您提供信息,以便您评估资源配置的更改对您的其他资源有何影响,从而最大程度地降低与更改相关的事件所产生的影响。

操作故障排除

借助 AWS Config,您可以获得您 AWS 资源配置更改的详细历史记录,以简化您的操作问题的故障排除。Config 与 AWS CloudTrail 实现了集成,该服务可记录与您的账户的 API 调用相关的事件,从而帮助您找出操作问题的根本原因。Config 利用 CloudTrail 记录将配置更改与您账户中的特定事件关联起来。您可以从 CloudTrail 日志获取引发更改的每个事件 API 调用的详细信息 (如发出请求的用户、时间和 IP 地址)。

可配置和可自定义规则

AWS Config 为您提供预建规则,用于评估您的 AWS 资源的预置和配置情况以及托管实例 (包括 Amazon EC2 实例和本地运行的服务器) 中的软件。您可以自定义预建规则,以评估您的 AWS 资源配置和配置更改;您也可以在 AWS Lambda 中创建您自己的自定义规则,从而定义您的资源配置的内部最佳实践和指南。使用 Config,您可以依据预建规则或自定义规则评估资源配置和资源更改的合规性。

AWS 资源的配置历史记录

AWS Config 记录您的 AWS 资源的更改详细信息,从而为您提供配置历史记录。您可以使用 AWS 管理控制台、API 或 CLI 获取过去任何时候资源配置所呈现样子的详细信息。Config 还会自动将配置历史记录文件发送到您指定的 Amazon S3 存储桶。

软件的配置历史记录

AWS Config 允许您记录 Amazon EC2 实例和本地运行的服务器,以及其他云提供商提供的环境中服务器和虚拟机内的软件配置更改。借助 Config,您可以查看操作系统 (OS) 配置、系统级别的更新、已安装的应用程序和网络配置等。Config 还提供操作系统和系统级别的配置更改历史记录,以及针对 EC2 实例记录的基础设施配置更改。

配置快照

AWS Config 可向您提供配置快照,即在某个时间点捕获的您的所有资源及其配置。配置快照通过 AWS CLI 或 API 按需生成,并会发送到您指定的 Amazon S3 存储桶中。

资源关系跟踪

AWS Config 可发现、映射和跟踪您的账户中的 AWS 资源关系。例如,如果一个新的 Amazon EC2 安全组与一个 Amazon EC2 实例相关联,Config 会记录此 Amazon EC2 安全组和 Amazon EC2 实例的更新后配置。

云管理控制面板

AWS Config 为您提供可视化控制面板,从而帮助您快速识别不合规的资源,并采取相应措施。IT 管理员、安全专家和合规官可以共同查看您的 AWS 资源的合规状况。

合作伙伴解决方案生态系统

您可以从众多 AWS 合作伙伴网络 (APN) 合作伙伴中进行选择,他们针对资源发现、变更管理、合规性或安全提供与 AWS Config 集成的解决方案。

发现

AWS Config 将发现您的账户中存在的资源,记录其当前配置,并捕获对这些配置的任何更改。Config 还会保留已删除资源的详细配置信息。所有资源及其配置属性的完全快照能在您的账户中提供完整的资源库。

变更管理

在您创建、更新或删除资源时,AWS Config 会将这些配置更改流式传输到 Amazon Simple Notification Service (SNS),如此您便会收到所有配置更改通知。AWS Config 可表示资源之间的关系,从而使您能够评估一个资源的更改可能会对其他资源造成什么样的影响。

持续审核和合规性

AWS Config 旨在让您了解 AWS 资源的配置并依据配置需求评估资源配置更改,从而帮助您评估您的资源是否符合内部策略要求和监管标准。

合规性作为准则

AWS Config 允许您将您的合规性编成 AWS Lambda 中的自定义规则,用于定义有关资源配置的内部最佳实践和指南。您可以使用 Config 自动评估您的资源配置和资源更改,从而确保整个 AWS 基础设施实现持续合规性和自主监管。

故障排除

使用 AWS Config,您可以识别对资源的最新配置更改,从而快速解决操作问题。

安全分析

AWS Config 提供的数据可使您持续监控您的资源配置情况,并评估这些配置是否具有潜在的安全弱点。对您的资源配置进行更改,将触发系统发送 Amazon Simple Notification Service (SNS) 通知,这些通知可发送给您的安全团队,以便他们查看通知并采取相应措施。发生潜在的安全事件后,您可以使用 Config 查看资源的配置历史记录并检查您的安全状况。