Amazon Config 文档

注意

亚马逊云科技资源的配置历史记录

Amazon Config 旨在记录亚马逊云科技资源的更改详细信息，以便为您提供一份配置历史记录。您可以使用亚马逊云科技管理控制台、API 或 CLI 获取资源在过去某一时刻的配置状态详细信息。Amazon Config 还会将配置历史记录文件发送到您指定的 Amazon S3 存储桶。

软件的配置历史记录

Amazon Config 旨在帮助您记录 Amazon EC2 实例和本地运行的服务器，以及其他云提供商提供的环境中服务器和虚拟机内的软件配置更改。借助 Amazon Config，您可以查看操作系统（OS）配置、系统级别的更新、已安装的应用程序和网络配置等。Amazon Config 还用于提供操作系统和系统级别的配置更改历史记录，以及针对 EC2 实例记录的基础设施配置更改。

资源关系跟踪

Amazon Config 旨在发现、映射和跟踪您账户中的亚马逊云科技资源关系。例如，如果一个新的 Amazon EC2 安全组与一个 Amazon EC2 实例相关联，Amazon Config 会记录此 Amazon EC2 安全组和 Amazon EC2 实例的更新后配置。

可配置和可自定义规则

Amazon Config 为您提供预建规则，用于评估您的亚马逊云科技资源的预置和配置情况以及托管实例（包括 Amazon EC2 实例和本地运行的服务器）中的软件。可以自定义预建规则，以评估您的亚马逊云科技资源配置和配置更改；您也可以在 Amazon Lambda 中创建您自己的自定义规则，从而定义您的资源配置的内部最佳实践和指南。使用 Amazon Config，您可以依据预建规则或自定义规则评估资源配置和资源更改的合规性。

一致性包

一致性包可帮助您使用通用框架和打包模型大规模管理亚马逊云科技资源配置的合规性（从策略定义到审计和汇总报告）。一致性包已与 Amazon Organizations 集成。使用一致性包作为合规框架，您可以将一组 Amazon Config 规则和补救措施打包到单个实体（称为一致性包）中，然后将其部署到整个组织。如果您需要以可扩展和高效的方式快速为组织中多个账户的资源配置策略和最佳实践确立通用基准，此功能尤其有用。

一致性包还提供合规性分数。合规性分数是一个基于百分比的评分，可帮助您判断您的资源对一致性包范围内的一组要求的符合程度。根据一致性包范围内符合要求的“规则-资源组合”数量来计算合规性分数。例如，将 5 个规则应用于 5 个资源的一致性包有 25 (5x5) 种可能的规则-资源组合。如果有 2 个资源不符合 2 个规则的要求，则合规性分数将为 84%，这表明 25 个规则-资源组合中有 21 个组合当前符合要求。此外，合规性分数会发送到 Amazon CloudWatch 指标，从而实现随时间进行跟踪。合规性分数提供了一种衡量标准，用于跟踪补救进度，对不同的要求集进行比较，并查看特定更改或部署对合规状况的影响。

多账户、多区域数据聚合

多账户、多区域数据聚合是 Amazon Config 中的一项功能，可实现集中审计和监管。该功能旨在让您可在企业范围内查看 Amazon Config 规则合规状态，并且可以关联 Amazon Organizations 以快速添加账户。Amazon Config 中的聚合控制面板旨在显示您组织中不符合要求规则的总数、按资源数量排列的前五个不符合要求规则以及不符合要求规则数量最多的前五个亚马逊云科技账户。然后，可以深入查看有关违反规则的资源的详细信息以及账户违反的规则列表。

可扩展性

Amazon Config 允许您使用我们的公开 API 将第三方资源的配置发布到 Amazon Config 中，从而支持可扩展性。第三方资源的示例包括版本控制系统，例如 GitHub、Microsoft Active Directory 资源或任何本地服务器。有了 Amazon Config 之后，您可以使用 Amazon Config 控制台和 API 查看和监控这些第三方资源的资源清单和配置历史记录，就像使用亚马逊云科技资源一样。您还可以创建 Amazon Config 规则或一致性包，以帮助您根据最佳实践、内部政策和监管政策评估这些第三方资源。

配置快照

Amazon Config 可向您提供配置快照，即在某个时间点捕获的资源及其配置。配置快照通过 Amazon CLI 或 API 按需生成，并会发送到您指定的 Amazon S3 存储桶中。

云治理控制面板

Amazon Config 为您提供可视化控制面板，从而帮助您快速识别不合规的资源，并采取相应措施。IT 管理员、安全专家和合规官可以共同查看您的亚马逊云科技资源的合规状况。

合作伙伴解决方案

您可以从众多亚马逊云科技合作伙伴网络（APN）合作伙伴中进行选择，他们针对资源发现、变更管理、合规性或安全提供与 Amazon Config 集成的解决方案。

集成

连接 ITSM/ITOM 软件

Jira Service Desk 等 IT 服务管理（ITSM）工具可以与 Amazon Config 连接，从而让 ITSM 平台用户更轻松地请求和管理亚马逊云科技的服务和资源。Jira Service Desk 的亚马逊云科技服务管理连接器有助于 Jira Service Desk 管理员对其亚马逊云科技产品进行治理和监管。

Amazon CloudTrail

Amazon Config 与 Amazon CloudTrail 集成，可帮助您将配置更改与账户中的特定事件关联起来。您可以使用 CloudTrail 日志获取引发更改的事件的详细信息，包括发出请求的用户、时间和 IP 地址。您可以从 Amazon CloudTrail 控制台导航到 Amazon Config 时间线，查看与您的 Amazon API 活动相关的配置更改。

Amazon Security Hub

Amazon Security Hub 旨在集中来自亚马逊云科技的其他服务（包括 Amazon Config 规则）的安全检查。Security Hub 可以启用并管理 Config 规则，以帮助确保您的资源配置符合最佳实践。对 Security Hub 所在的所有中国区域的所有账户启用 Config，以便对您的环境资源进行安全检查。

Amazon Audit Manager

Amazon Audit Manager 帮助您持续审计您的亚马逊云科技使用情况，以便简化您评估风险以及遵守法规和行业标准的方式。Audit Manager 提供证据收集功能，因此您可以配置控制数据来源（例如 Amazon Config）来收集证据。

Amazon Systems Manager

Amazon Config 与 Amazon Systems Manager 集成，可帮助您记录本地环境中 Amazon EC2 实例和服务器上软件的配置更改。通过这种集成，您可以查看操作系统（OS）配置、系统级别的更新、已安装的应用程序和网络配置等。Amazon Config 还用于提供操作系统和系统级别的配置更改历史记录，以及针对 EC2 实例记录的基础设施配置更改。您可以从 Systems Manager 控制台导航到 Amazon Config 时间线，查看托管 EC2 实例的配置更改。

Amazon EC2 专属主机

Amazon Config 与 Amazon EC2 专属主机集成，可帮助您评估许可证合规性。Amazon Config 会记录实例在专属主机上的启动、停止或终止时间，并将此信息与软件许可相关的主机和实例级信息（例如主机 ID、亚马逊机器映像（AMI）ID 以及套接字和物理内核的数量）组合在一起。这样您就可以使用 Amazon Config 作为许可证报告的数据来源。您可以从 Amazon EC2 专属主机控制台导航到 Amazon Config 时间线，查看 Amazon EC2 专属主机的配置更改。

应用程序负载均衡器

Amazon Config 与弹性负载均衡器（ELB）服务集成，可帮助您记录应用程序负载均衡器的配置更改。 Amazon Config 还包括与关联的 EC2 安全组、VPC 和子网的关系。您可以使用此信息进行安全分析和故障排除。例如，您可以随时查看哪些安全组与应用程序负载均衡器关联。您可以从 ELB 控制台导航到 Amazon Config 时间线，查看应用程序负载均衡器的配置更改。

Amazon Organizations

您可以使用 Amazon Organizations 来帮助您定义用于 Amazon Config 的多账户、多区域数据聚合功能的账户。通过提供您的 Amazon Organizations 详细信息，该服务旨在帮助您监控整个组织的合规状态。

其他信息

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。