Amazon Config 常见问题

Amazon Config 是一项完全托管的服务，可为您提供亚马逊云科技资源库存、配置历史记录和配置更改通知，以增强安全性和方便管理。使用 Amazon Config 让您能够找到现有的亚马逊云科技资源，导出您的亚马逊云科技资源完整库存清单与所有配置的详细信息，并确定资源是如何在任何时间点上配置的。这些功能提供了合规性审计、安全分析、资源更改跟踪和故障排除。

Amazon Config 可用于轻松地跟踪您的资源配置，而无需前期投资，并且避开了安装和更新数据收集代理或维护大型数据库的复杂性。一旦您启用了 Amazon Config，您便可以查看与亚马逊云科技资源相关的所有配置属性的持续更新详细信息。您可以通过 Amazon Simple Notification Service（SNS）获得每个配置更改的通知。

Amazon Config 为您提供资源配置历史记录的访问权限。您可以将配置更改与可能对配置的更改做出了贡献的 Amazon CloudTrail 事件关联起来。您可以通过此信息全面查看从“谁进行的更改？”、“来自哪个 IP 地址？”等详细信息乃至此更改对亚马逊云科技资源和相关资源的影响。您可以用此信息生成报告，从而在一定的时间内帮助审计和评测合规性。

Amazon Config 为您提供资源配置历史记录的访问权限。您可以将配置更改与可能对配置的更改做出了贡献的 Amazon CloudTrail 事件关联起来。您可以通过此信息全面查看从“谁进行的更改？”、“来自哪个 IP 地址？”等详细信息乃至此更改对亚马逊云科技资源和相关资源的影响。您可以用此信息生成报告，从而在一定的时间内帮助审计和评测合规性。

Amazon Config 使用多账户、多区域数据聚合功能，让您更轻松地监控多个账户和区域中的合规状态。可以在任何账户中创建配置聚合器，并且聚合其他账户的合规详细信息。Amazon Organizations 也利用此功能，因此您可以聚合组织内所有账户的数据。

Amazon CloudTrail 可记录您的账户上的用户 API 活动，并允许您访问有关此活动的信息。您将获得有关 API 操作的完整详细信息，如发起人的身份、该 API 调用的时间、请求参数和亚马逊云科技服务返回的响应元素。 Amazon Config 将您的亚马逊云科技资源的时间点配置详细信息以配置项（CI）记录。可以在某个时间点上使用一个 CI 来回答“我的亚马逊云科技资源是什么样子？”可以使用 Amazon CloudTrail 回答“谁调用 API 修改了此资源？” 例如，可以对 Amazon Config 使用 Amazon 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 Amazon CloudTrail 信息，您可以发现是哪个用户错误配置了“生产数据库”安全组。

开始使用 Amazon Config 最快捷的方式就是使用 Amazon 管理控制台。单击几次即可启用 Amazon Config。有关其他详细信息，请参阅入门文档。

您可以使用 Amazon 管理控制台、Amazon 命令行界面或软件开发工具包查找当前和历史资源配置。

有关其他详细信息，请参阅 Amazon Config 文档。

您可以以区域为基础为您的账户启用 Amazon Config。

可以，一旦适当的 IAM 策略应用到 S3 存储桶，您就可以将 Amazon Config 设置为将配置更新从不同的账户发送到一个 S3 存储桶中。一旦适当的 IAM 策略应用到 SNS 主题，您还可以向同一区域内的一个 SNS 主题发布通知。

是。包括 Amazon Config API 的使用到读取配置数据在内的所有 Amazon Config API 活动都会被 Amazon CloudTrail 记录下来。

Amazon Config 显示在时间线上记录资源配置项（CI）的时间。所有时间均以国际协调时间（UTC）为准。在管理控制台上直观显示时间线时，服务使用当前时区（若适用，已针对夏令时间调整）在时间线视图中显示其他所有记录的时间。

配置项（CI）是资源在给定时间点的配置。CI 由 5 个部分组成：

1. 各不同资源类型共同的有关资源的基本信息（例如 Amazon 资源名称、标签）、

2. 资源特定的配置数据（例如 EC2 实例类型）、

3. 与其他资源关系的映射（例如 EC2::Volume vol-3434df43 “附加到实例” EC2 Instance i-3432ee3a）、

4. 与此状态相关的 Amazon CloudTrail 事件 ID、

5. 帮助您识别 CI 有关信息的元数据，如该 CI 的版本、以及捕捉到该 CI 的时间。

了解有关配置项的更多信息

当记录更改时，Amazon Config 会将资源之间的关系考虑进去。例如，如果新的 Amazon EC2 安全组与 Amazon EC2 实例相关联，Amazon Config 会在主要资源（Amazon EC2 安全组）和相关资源（如 Amazon EC2 实例）发生实际更改时，记录它们更新后的配置。

Amazon Config 检测资源配置的更改并记录由此更改导致的配置状态。如果连续几次对某个资源进行配置更改（例如，在几分钟内），则 Config 将只记录代表这一组更改的累积影响的最新资源配置。在这些情况下，Config 将在配置项的 relatedEvents 字段列出最新更改。这就允许用户和程序继续更改配置，而无需等待 Config 记录中间过渡状态。

会，Amazon Config 将定期扫描资源配置，以查看是否存在尚未记录的更改并记录这些更改。通过这些扫描所记录的 CI 在有效载荷中不会有relatedEvent 字段，并且将仅挑选尚未记录的最新状态进行记录。

资源的配置由 Amazon Config 的配置项（CI）中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息以及任何其他相关信息（例如其他附加资源、工作时间等）一起用于评估资源配置的合规性。

规则表示用于资源的期望配置项（CI）属性值，并通过将这些属性值与 Amazon Config 所记录的 CI 比较进行评估。规则有两种类型：

Amazon Web Services 托管规则：Amazon Web Services 托管规则由 Amazon Web Services 预建和管理。您只需选择希望启用的规则，然后提供一些配置参数即可开始使用。

客户托管规则：客户托管规则为自定义规则，由您定义和生成。您可以在 Amazon Lambda 中创建能够作为自定义规则的一部分来调用的函数，这些函数将在您的账户中执行。

开始使用 Amazon Config 最快捷的方式就是使用 Amazon 管理控制台。单击几次即可启用 Amazon Config。有关其他详细信息，请参阅文档。

规则通常由亚马逊云科技账户管理员设置。可以利用亚马逊云科技托管规则（由亚马逊云科技提供的一组预定义规则）或通过客户托管规则进行创建。借助 Amazon Web Services 托管规则，对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中，客户具有该规则的完整副本，并在其自己的账户中执行该规则。这些规则由客户维护。

默认情况下，您最多可以在亚马逊云科技账户中创建 50 条规则。此外，您还可以访问亚马逊云科技服务限制页面，申请提高您的账户中的规则数量上限。

任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 Amazon Config 为任何指定资源记录配置更改后执行。此外，还必须指定以下项之一：

• 标签键:（可选值）：“标签键:值”意味着为带有指定“标签键:值”的资源记录的任何配置更改都将触发规则评估。

• 资源类型：为指定资源类型内的任何资源记录的任何配置更改都将触发规则评估。

• >资源 ID：为由资源类型和资源 ID 指定的资源记录的任何更改都将触发规则评估。

定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项（CI）的完整快照。

规则的评估可确定某个规则是否在特定时间点与某个资源相符合。这是针对资源配置评估规则的结果。Config Rules 将捕获并存储每个评估的结果。此结果将包含资源、规则、评估时间和导致非合规的配置项（CI）链接。

如果资源符合对其应用的所有规则即为合规。否则为非合规。同样地，如果由规则评估的所有资源都符合该规则，则该规则合规。否则为非合规。在某些情况下，例如为规则提供的权限不足时，可能不存在资源评估，从而导致数据不足的状态。此状态不能确定资源或规则的合规性状态。

Config Rules 控制面板为您提供由 Amazon Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时，您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性，这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图，您可以深入了解资源的 Config 时间线视图，从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解，然后深入查看细化视图，这些视图提供有关合规性状态以及哪些更改导致非合规的完整信息。

资源的配置由 Amazon Config 的配置项 (CI) 中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息以及任何其他相关信息（例如其他附加资源、工作时间等）一起用于评估资源配置的合规性。

规则表示用于资源的期望配置项 (CI) 属性值，并通过将这些属性值与 Amazon Config 所记录的 CI 比较进行评估。规则有两种类型：

亚马逊云科技 托管规则：亚马逊云科技 托管规则为预建规则，由 亚马逊云科技 托管。您只需选择希望启用的规则，然后提供一些配置参数即可开始使用。

客户托管规则：客户托管规则为自定义规则，由您定义和生成。您可以在 Amazon Lambda 中创建能够作为自定义规则的一部分来调用的函数，这些函数将在您的账户中执行。

开始使用 Amazon Config 最快捷的方式就是使用 Amazon 管理控制台。单击几次即可启用 Amazon Config。有关其他详细信息，请参阅文档。

规则通常由 亚马逊云科技 账户管理员建立。可以利用 亚马逊云科技 托管规则（由 亚马逊云科技 提供的一组预定义规则）或通过客户托管规则进行创建。借助 亚马逊云科技 托管规则，对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中，客户具有该规则的完整副本，并在其自己的账户中执行该规则。

默认情况下，您在亚马逊云科技账户中最多可以创建 50 个规则。此外，您可以访问亚马逊云科技服务限制页面，申请提高您的账户中的规则数量上限。

任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 Amazon Config 为任何指定资源记录配置更改后执行。此外，还必须指定以下项之一：

• 标签键:（可选值）：“标签键:值”意味着为带有指定“标签键:值”的资源记录的任何配置更改都将触发规则评估。
• 资源类型：为指定资源类型内的任何资源记录的任何配置更改都将触发规则评估。
• 资源 ID：为由资源类型和资源 ID 指定的资源记录的任何更改都将触发规则评估。

定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项 (CI) 的完整快照。

您可以通过上传文件或单独输入账户来指定聚合 Amazon Config 数据的账户。请注意，由于这些账户不属于任何 Amazon 组织，因此您需要为每个账户明确授权聚合器账户。了解更多。

数据聚合功能对于多区域聚合也很有用。因此，您可以使用此功能跨多个区域聚合账户的 Amazon Config 数据。

Config Rules 控制面板为您提供由 Amazon Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时，您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性，这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图，您可以深入了解资源的 Config 时间线视图，从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解，然后深入查看细化视图，这些视图提供有关合规性状态以及哪些更改导致非合规的完整信息。

创建聚合器时，您可以指定可以从中聚合数据的区域。此列表仅显示提供此功能的区域。您也可以选择“所有区域”，在此情况下，只要在其他区域添加支持此功能，它就会自动聚合数据。