什么是 AWS Config?

AWS Config 是一项完全托管的服务,可为您提供 AWS 资源库存、配置历史记录和配置更改通知,以增强安全性和方便管理。使用 AWS Config 让您能够找到现有的 AWS 资源,导出您的 AWS 资源完整库存清单与所有配置的详细信息,并确定资源是如何在任何时间点上配置的。这些功能提供了合规性审计、安全分析、资源更改跟踪和故障排除。

AWS Config 有哪些好处?

AWS Config 可用于轻松地追踪您的资源配置,而无需前期投资,并且避开了安装和更新代理程序以进行数据收集或大型数据库维护的复杂性。一旦您启用了 AWS Config,您便可以查看与 AWS 资源相关的所有配置属性的持续更新详细信息。您可以通过 Amazon Simple Notification Service (SNS) 获得每个配置更改的通知。

AWS Config 如何帮助进行审计?

AWS Config 可为您提供资源配置历史的访问权。您可以将配置更改与可能对配置的更改做出了贡献的 AWS CloudTrail 事件关联起来。该信息为您提供了充分的可见性,从“谁进行的更改?”、“从何 IP 地址?”之类的详细信息处开始,让您能看到此更改对 AWS 资源及相关资源产生的影响。您可以用此信息生成报告,从而在一定的的时间内帮助审计和评估合规性。

哪些人应该使用 AWS Config?

任何期望通过持续评估其资源配置以在 AWS 上改进安全性和管理状况的 AWS 客户都可以从此功能获益。 想追踪资源配置更改、获得资源配置相关问题解答、进行故障排除或执行安全性分析的客户应启用 AWS Config。

AWS Config 如何与 AWS CloudTrail 协作?

AWS CloudTrail 会记录您账户上的用户 API 活动,并让您能够访问有关该活动的信息。您将获得有关 API 操作的完整详细信息,如发起人的身份、该 API 调用的时间、请求参数和 AWS 服务返回的响应元素。AWS Config 将您的 AWS 资源的时间点配置详细信息以配置项 (CI) 记录。您可以使用一个 CI 来回答 “我的 AWS 资源是什么样子?” 。您可以使用 AWS CloudTrail 回答“谁调用 API 修改了此资源?”例如,您可以对 AWS Config 使用 AWS 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 AWS CloudTrail 信息,您可以发现是哪个用户错误配置了“生产数据库”安全组。

 

开始免费使用 AWS

创建免费账户

获得 12 个月的 AWS 免费套餐,同时享受 AWS 的基本支持功能,包括全年全天候无休客户服务、支持论坛及更多。

了解更多关于 AWS Config Rules 预览版的信息。

如何开始使用该服务?

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几次鼠标即可启用 AWS Config。有关其他详细信息,请参阅入门文档。

如何访问我的资源配置?

您可以使用 AWS 管理控制台、AWS 命令行接口或软件开发工具包查找当前和历史资源配置。

有关其他详细信息,请参阅 AWS Config 文档

我是要局部还是全局启用 AWS Config?

您可以以区域为基础为您的账户启用 AWS Config。

AWS Config 能否在多个不同的 AWS 账户间集合数据?

能,一旦适当的 IAM 策略应用到 S3 存储桶,您就可以将 AWS Config 设置为将配置更新从不同的账户发送到一个 S3 存储桶中。一旦适当的 IAM 策略应用到 SNS 主题,您还可以将向同一区域内的 SNS 主题发布通知。

AWS Config 上的 API 活动自身会被 AWS CloudTrail 记录下来吗?

是。所有 AWS Config API 活动,包括 AWS Config API 的使用到阅读配置数据,都会被 AWS CloudTrail 记录下来。

资源的时间线视图中显示哪些时间和时区?夏令时间是什么?

AWS Config 显示在时间轴上记录资源配置所处的时间。所有时间均以国际协调时间 (UTC) 为准。在管理控制台上直观显示时间轴时,服务使用当前时区(若适用,已针对夏令时间调整)在时间线视图中显示其他所有记录的时间。

什么是配置项?

配置项 (CI) 指的是一项资源在给定时间点的配置。CI 由 5 个部分组成:

  1. 各不同资源类型共同的有关资源的基本信息(例如 Amazon Resource 名称、标签)、
  2. 资源特定的配置数据(例如 EC2 实例类型)、
  3. 与其他资源关系的映射(例如 EC2::Volume vol-3434df43 “附加到实例” EC2 Instance i-3432ee3a)、
  4. 与此状态相关的 AWS CloudTrail 事件 ID、
  5. 帮助您识别 CI 有关信息的元数据,如该 CI 的版本、以及捕捉到该 CI 的时间。

了解更多有关配置项的信息

AWS Config 关系是什么,如何使用它们?

当记录更改时,AWS Config 会把资源之间的关系考虑进去。例如,如果新的 Amazon EC2 安全组与 Amazon EC2 实例相关联,AWS Config 会在主要资源(Amazon EC2 安全组)和相关资源(如 Amazon EC2 实例)发生实际更改时,记录它们更新后的配置。

AWS Config 会记录资源曾经历的每一个状态吗?

AWS Config 探测资源配置的更改并记录由更改导致的配置状态。如果资源的几个配置接二连三地发生改变(例如,在几分钟内),则 Config 将只记录代表这一组更改累积影响的最终配置。在这些情况下,Config 将在配置项的 relatedEvents 字段列出最新更改。这就允许用户和程序继续更改配置,而无需等待 Config 记录中间过渡状态。

AWS Config 会记录不是由该资源的 API 活动引起的配置变化吗?

会的,AWS Config 将定期扫描资源配置,看是否存在尚未记录的更改并记录这些更改。从这些扫描所记录的 CI, 在费用负载中没有 relatedEvent 字段,并且将仅挑选尚未记录的最新状态进行记录。

什么是资源的配置?

资源的配置由 AWS Config 的配置项 (CI) 中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息以及任何其他相关信息 (例如其他附加资源、工作时间等) 一起用于评估资源配置的合规性。

什么是规则?

规则表示用于资源的期望配置项 (CI) 属性值,并通过将这些属性值与 AWS Config 所记录的 CI 比较进行评估。规则有两种类型:

AWS 托管规则:AWS 托管规则预先生成并受到 AWS 管理。您只需选择希望启用的规则,然后提供一些配置参数即可开始使用。

客户托管规则:客户托管规则为自定义规则,由您定义和生成。您可以在 AWS Lambda 中创建能够作为自定义规则的一部分来调用的函数,这些函数将在您的账户中执行。

开始使用 AWS Config 最快捷的方式就是使用 AWS 管理控制台。单击几次即可启用 AWS Config。有关更多详细信息,请参阅该文档

如何创建规则?

规则通常由 AWS 账户管理员建立。可以利用 AWS 托管规则 (由 AWS 提供的一组预定义规则) 或通过客户托管规则进行创建。借助 AWS 托管规则,对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中,客户具有该规则的完整副本,并在其自己的账户中执行该规则。这些规则由客户维护。

我可以创建多少个规则?

默认情况下,您在 AWS 账户中最多可以创建 50 个规则。此外,您可以访问 AWS 服务限制 页面,申请提高您的账户中的规则数量上限。

如何评估规则?

任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 AWS Config 为任何指定资源记录配置更改后执行。此外,还必须指定以下项之一:

  • 标签键:(可选值):“标签键:值”意味着为带有指定“标签键:值”的资源记录的任何配置更改都将触发规则评估。
  • 资源类型:为指定资源类型内的任何资源记录的任何配置更改都将触发规则评估。
  • 资源 ID:为由资源类型和资源 ID 指定的资源记录的任何更改都将触发规则评估。

定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项 (CI) 的完整快照。

什么是评估?

规则的评估可确定某个规则是否在特定时间点与某个资源相符合。这是针对资源配置评估规则的结果。Config Rules 将捕获并存储每个评估的结果。此结果将包含资源、规则、评估时间和导致非合规的配置项 (CI) 链接。

合规性是什么意思?

如果资源符合对其应用的所有规则即为合规。否则为非合规。同样地,如果由规则评估的所有资源都符合该规则,则该规则合规。否则为非合规。在某些情况下,例如为规则提供的权限不足时,可能不存在资源评估,从而导致数据不足的状态。此状态不能确定资源或规则的合规性状态。

Config Rules 仪表板提供哪些信息?

Config Rules 控制面板为您提供由 AWS Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时,您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性,这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图,您可以深入了解资源的 Config 时间线视图,从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解,然后深入查看细化视图,这些视图提供有关合规性状态以及哪些更改导致非合规的完整信息。