Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Config Terminologie und Konzepte
Um Ihnen das Verständnis zu erleichtern AWS Config, werden in diesem Thema einige der wichtigsten Konzepte erläutert.
Inhalt
AWS Config Schnittstellen
AWS Config Konsole
Sie können den Dienst über die AWS Config Konsole verwalten. Weitere Informationen zu dem finden AWS Management Console Sie unter AWS Management Console.
AWS Config CLI
Das AWS Command Line Interface ist ein einheitliches Tool, mit dem Sie über die AWS Config Befehlszeile interagieren können. Weitere Informationen finden Sie im AWS Command Line Interface -Benutzerhandbuch. Eine vollständige Liste der AWS Config CLI-Befehle finden Sie unter Verfügbare Befehle.
AWS Config APIs
Neben der Konsole und der CLI können Sie auch die AWS Config RESTful-APIs verwenden, um AWS Config direkt zu programmieren. Weitere Informationen finden Sie in der AWS Config -API-Referenz.
AWS Config SDKs
Als Alternative zur Verwendung der AWS Config API können Sie eines der AWS SDKs verwenden. Jedes SDK enthält Bibliotheken und Beispiel-Code für verschiedene Programmiersprachen und Plattformen. Die SDKs sind gut zur Einrichtung des programmgesteuerten Zugriffs auf AWS Config geeignet. Sie können beispielsweise die SDKs verwenden, um Anforderungen kryptografisch zu signieren, Fehler zu verwalten und Anforderungen automatisch zu wiederholen. Weitere Informationen finden Sie unter Tools für Amazon Web Services
Ressourcenmanagement
Wenn Sie die grundlegenden Komponenten von verstehen, können AWS Config Sie den Ressourcenbestand und die Änderungen nachverfolgen und die Konfigurationen Ihrer AWS Ressourcen bewerten.
AWS Ressourcen
AWS Ressourcen sind Entitäten, die Sie mithilfe der AWS Command Line Interface (CLI) AWS Management Console, der AWS SDKs oder AWS Partnertools erstellen und verwalten. Zu den AWS Ressourcen gehören beispielsweise Amazon EC2 EC2-Instances, Sicherheitsgruppen, Amazon VPCs und Amazon Elastic Block Store. AWS Config bezieht sich auf jede Ressource unter Verwendung ihrer eindeutigen Kennung, z. B. der Ressourcen-ID oder eines Amazon-Ressourcennamens (ARN). Eine Liste der AWS Config unterstützten Ressourcentypen finden Sie unterUnterstützte Ressourcentypen.
Ressourcenbeziehung
AWS Config erkennt AWS Ressourcen in Ihrem Konto und erstellt dann eine Übersicht der Beziehungen zwischen AWS Ressourcen. Beispiel: Eine Beziehung kann das Amazon-EBS-Volume vol-123ab45d umfassen, das an die Amazon-EC2-Instance i-a1b2c3d4 angefügt ist, die wiederum der Sicherheitsgruppe sg-ef678hk zugeordnet ist.
Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.
Configuration Recorder
Im Konfigurations-Recorder werden die Konfigurationen der unterstützten Ressourcen in Ihrem Konto als Konfigurationselemente gespeichert. Sie müssen den Configuration Recorder zunächst erstellen und dann starten, bevor Sie mit der Aufzeichnung beginnen können. Sie können den Configuration Recorder jederzeit anhalten und neu starten. Weitere Informationen finden Sie unter Verwalten vom Configuration Recorder.
Standardmäßig zeichnet der Konfigurationsrekorder alle unterstützten Ressourcen in der Region auf, in der er ausgeführt AWS Config wird. Sie können einen benutzerdefinierten Configuration Recorder erstellen, der nur die von Ihnen angegebenen Ressourcentypen aufzeichnet. Weitere Informationen finden Sie unter AWS Ressourcen für die Aufzeichnung.
Wenn Sie den Dienst mit AWS Management Console oder der CLI einschalten, AWS Config wird automatisch ein Konfigurationsrekorder für Sie erstellt und gestartet.
Übermittlungskanal
Da AWS Config kontinuierlich die Änderungen an Ihren AWS Ressourcen aufgezeichnet werden, werden Benachrichtigungen und aktualisierte Konfigurationsstatus über den Bereitstellungskanal gesendet. Sie können den Lieferkanal verwalten, um zu kontrollieren, wohin Konfigurationsupdates AWS Config gesendet werden.
Konfigurationselemente
Ein Konfigurationselement stellt eine point-in-time Ansicht der verschiedenen Attribute einer unterstützten AWS Ressource dar, die in Ihrem Konto vorhanden ist. Zu den Komponenten eines Konfigurationselements gehören Metadaten, Attribute, Beziehungen, die aktuelle Konfiguration und verwandte Ereignisse. AWS Config erstellt ein Konfigurationselement, wenn es eine Änderung an einem Ressourcentyp erkennt, den es aufzeichnet. Wenn beispielsweise Amazon S3 S3-Buckets aufgezeichnet werden, AWS Config wird jedes Mal, wenn ein Bucket AWS Config erstellt, aktualisiert oder gelöscht wird, ein Konfigurationselement erstellt. Sie können auch auswählen AWS Config , ob ein Konfigurationselement mit der von Ihnen festgelegten Aufzeichnungsfrequenz erstellt werden soll.
Weitere Informationen finden Sie unter Components of a Configuration Item Aufnahmefrequenz.
Konfigurationsverlauf
Ein Konfigurationsverlauf ist die Sammlung der Konfigurationselemente für eine bestimmte Ressource über einen beliebigen Zeitraum. Ein Konfigurationsverlauf kann Ihnen bei der Beantwortung von Fragen helfen: z. B. wann die Ressource erstmalig erstellt wurde, wie die Ressource im letzten Monat konfiguriert wurde und welche Konfigurationsänderungen gestern um 9.00 Uhr eingeführt wurden. Der Konfigurationsverlauf steht Ihnen in verschiedenen Formaten zur Verfügung. AWS Config liefert automatisch eine Konfigurationsverlaufsdatei für jeden Ressourcentyp, der in einem von Ihnen angegebenen Amazon S3 S3-Bucket aufgezeichnet wird. Sie können eine bestimmte Ressource in der AWS Config Konsole auswählen und mithilfe der Zeitleiste zu allen vorherigen Konfigurationselementen für diese Ressource navigieren. Zusätzlich können Sie über die API auf historische Konfigurationselemente für eine Ressource zugreifen.
Weitere Informationen finden Sie unter Konformitätsverlauf anzeigen und Kompatibilitätsverlauf abfragen.
Konfigurations-Snapshot
Ein Konfigurations-Snapshot ist eine Sammlung der Konfigurationselemente der unterstützten Ressourcen in Ihrem Konto. Dieser Konfigurations-Snapshot liefert ein vollständiges Bild der derzeit aufgezeichneten Ressourcen und deren Konfigurationen. Die Konfigurations-Snapshot ist ein nützliches Tool für die Validierung Ihrer Konfiguration. Sie können beispielsweise den Konfigurations-Snapshot regelmäßig auf falsch konfigurierte Ressourcen oder solche, die potentiell nicht vorhanden sein sollten, hin prüfen. Der Konfigurations-Snapshot ist in mehreren Formaten verfügbar. Der Konfigurations-Snapshot kann an einen von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket übermittelt werden. Darüber hinaus können Sie in der AWS Config Konsole einen Zeitpunkt auswählen und mithilfe der Beziehungen zwischen den Ressourcen durch den Snapshot der Konfigurationselemente navigieren.
Weitere Informationen finden Sie unter Bereitstellen von Konfigurations-Snapshots, Anzeigen von Konfigurations-Snapshots und Beispiel für einen Konfigurations-Snapshot.
Konfigurations-Stream
Ein Konfigurationsstream ist eine automatisch aktualisierte Liste aller Konfigurationselemente für die Ressourcen, AWS Config die aufgezeichnet werden. Bei jeder Erstellung, Änderung oder Löschung einer Ressource wird von AWS Config ein neues Konfigurationselement erstellt und dem Konfigurations-Stream hinzugefügt. Der Konfigurationsstream verwendet ein Amazon Simple Notification Service (Amazon SNS)-Thema Ihrer Wahl. Der Konfigurationsstream ist hilfreich, um Konfigurationsänderungen sofort zu beobachten, sodass Sie potenzielle Probleme erkennen können, Benachrichtigungen zu generieren, wenn bestimmte Ressourcen geändert werden, oder externe Systeme zu aktualisieren, die die Konfiguration Ihrer AWS Ressourcen widerspiegeln müssen.
AWS Config Regeln
Eine AWS Config Regel stellt Ihre gewünschten Konfigurationseinstellungen für bestimmte AWS Ressourcen oder für eine gesamte Ressource dar AWS-Konto. Wenn eine Ressource eine Regelprüfung nicht besteht, werden die AWS Config Ressource und die Regel als nicht konform gekennzeichnet und Sie werden über Amazon SNS AWS Config benachrichtigt. Im Folgenden sind die möglichen Evaluierungsergebnisse für eine Regel aufgeführt: AWS Config
-
COMPLIANT: Die Regel erfüllt die Bedingungen der Compliance-Überprüfung. -
NON_COMPLIANT: Die Regel erfüllt die Bedingungen der Compliance-Überprüfung nicht. -
ERROR: Einer der erforderlichen/optionalen Parameter ist ungültig, hat nicht den richtigen Typ oder ist falsch formatiert. -
NOT_APPLICABLE: Wird verwendet, um Ressourcen herauszufiltern, auf die die Logik der Regel nicht angewendet werden kann. Die alb-desync-mode-checkRegel überprüft beispielsweise nur Application Load Balancers und ignoriert Network Load Balancers und Gateway Load Balancers.
Es gibt zwei Arten von Regeln: AWS Config Verwaltete Regeln und benutzerdefinierte Regeln. AWS Config Weitere Informationen zur Struktur von Regeldefinitionen und Regelmetadaten finden Sie unter Komponenten einer AWS Config Regel.
AWS Config Verwaltete Regeln
AWS Config Verwaltete Regeln sind vordefinierte, anpassbare Regeln, die von erstellt wurden AWS Config. Eine Liste der verwalteten Regeln finden Sie unter Liste der AWS Config verwalteten Regeln.
AWS Config Benutzerdefinierte Regeln
AWS Config Benutzerdefinierte Regeln sind Regeln, die Sie von Grund auf neu erstellen. Es gibt zwei Möglichkeiten, AWS Config benutzerdefinierte Regeln zu erstellen: mit Lambda-Funktionen (AWS Lambda Developer Guide) und mit Guard (Guard GitHub Repository
Eine exemplarische Vorgehensweise, die zeigt, wie Sie AWS Config benutzerdefinierte Richtlinienregeln erstellen, finden Sie unter AWS Config Benutzerdefinierte Richtlinienregeln erstellen. Eine exemplarische Vorgehensweise zum Erstellen AWS Config benutzerdefinierter Lambda-Regeln finden Sie unter Benutzerdefinierte Lambda-Regeln erstellen AWS Config.
Auslösertypen
Nachdem Sie Ihrem Konto eine Regel hinzugefügt haben, werden Ihre Ressourcen mit den Bedingungen der Regel AWS Config verglichen. Nach dieser ersten Evaluierung werden die Evaluierungen jedes Mal, wenn eine ausgelöst wird, AWS Config fortgesetzt. Die Evaluierungsauslöser sind als Teil der Regel definiert und können die folgenden Typen beinhalten.
| Typ des Triggers | Beschreibung |
|---|---|
| Konfigurationsänderungen | AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde. Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein:
AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen. |
| Regelmäßig | AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden. |
| Hybrid | Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit. |
Auswertungsmodi
Es gibt zwei Bewertungsmodi für AWS Config Regeln.
| Bewertungsmodus | Beschreibung |
|---|---|
| Proaktiv | Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie auswerten, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NICHT KONFORM gelten würde. Weitere Informationen finden Sie unter Auswertungsmodi. Eine Liste der verwalteten Regeln, die eine proaktive Bewertung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus. |
| Detektivisch | Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten. |
Anmerkung
Durch proaktive Regeln werden keine Ressourcen korrigiert, die als NON_COMPLIANT gekennzeichnet sind, und sie verhindern auch nicht, dass diese bereitgestellt werden.
Konformitätspakete
Ein Konformitätspaket ist eine Sammlung von AWS Config Regeln und Korrekturmaßnahmen, die einfach als einzelne Einheit in einem Konto und einer Region oder unternehmensweit in einem Unternehmen eingesetzt werden können. AWS Organizations
Conformance Packs werden erstellt, indem eine YAML-Vorlage erstellt wird, die die Liste der von AWS Config verwalteten oder benutzerdefinierten Regeln und Korrekturmaßnahmen enthält. Sie können die Vorlage mithilfe der AWS Config -Konsole oder der AWS CLI bereitstellen.
Verwenden Sie eine der Mustervorlagen für Conformance Packs, um schnell loszulegen und Ihre AWS Umgebung zu bewerten. Sie können auch eine YAML-Datei für ein Conformance Pack von Grund auf neu erstellen. Weitere Informationen finden Sie unter Custom Conformance Pack. Ein benutzerdefiniertes Conformance Pack ist eine einzigartige Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die Sie gemeinsam in einem Konto und einer AWS Region oder unternehmensweit einsetzen können. AWS Organizations
Prozessprüfungen sind eine Art von AWS Config Regel, mit der Sie Ihre externen und internen Aufgaben, die im Rahmen der Konformitätspakete überprüft werden müssen, nachverfolgen können. Diese Prüfungen können einem vorhandenen Conformance Pack oder einem neuen Conformance Pack hinzugefügt werden. Sie können die gesamte Einhaltung der Vorschriften, einschließlich AWS Config der Dauer und manueller Prüfungen, an einem einzigen Ort nachverfolgen.
Datenaggregation für mehrere Konten und Regionen
Durch die Datenaggregation mehrerer Konten und mehrerer Regionen AWS Config können Sie AWS Config Konfigurations- und Compliance-Daten aus mehreren Konten und Regionen in einem einzigen Konto zusammenfassen. Die Datenaggregation mit mehreren Konten und mehreren Regionen ist für zentrale IT-Administratoren nützlich, um die Einhaltung der Vorschriften für mehrere Benutzer im Unternehmen zu überwachen. AWS-Konten Durch die Verwendung von Aggregatoren fallen keine zusätzlichen Kosten an.
Quellkonto
Ein Quellkonto ist das Konto, AWS-Konto von dem aus Sie AWS Config Ressourcenkonfigurations- und Compliance-Daten aggregieren möchten. Ein Quellkonto kann ein einzelnes Konto oder eine Organisation in AWS Organizations sein. Sie können Quellkonten einzeln bereitstellen oder sie über abrufen AWS Organizations.
Quellregion
Eine Quellregion ist die AWS Region, aus der Sie AWS Config Konfigurations- und Compliance-Daten aggregieren möchten.
Aggregator
Ein Aggregator sammelt AWS Config Konfigurations- und Compliance-Daten aus mehreren Quellkonten und Regionen. Erstellen Sie einen Aggregator in der Region, in der Sie die aggregierten AWS Config Konfigurations- und Compliance-Daten sehen möchten.
Anmerkung
Aggregatoren bieten eine schreibgeschützte Ansicht der Quellkonten und Regionen, zu deren Anzeige der Aggregator berechtigt ist, indem sie Daten aus den Quellkonten in das Aggregatorkonto replizieren. Aggregatoren bieten keinen mutierenden Zugriff auf ein Quellkonto oder eine Quellregion. Dies bedeutet beispielsweise, dass Sie Regeln nicht über einen Aggregator bereitstellen oder Snapshot-Dateien nicht über einen Aggregator an ein Quellkonto oder eine Quellregion übertragen können.
Aggregatorkonto
Ein Aggregatorkonto ist das Konto, in dem Sie einen Aggregator erstellen.
Autorisierung
Als Inhaber eines Quellkontos bezieht sich die Autorisierung auf die Berechtigungen, die Sie einem Aggregatorkonto und einer Region zur Erfassung Ihrer AWS Config Konfigurations- und Compliance-Daten gewähren. Die Autorisierung ist nicht erforderlich, wenn Sie Quellkonten aggregieren, die Teil von AWS Organizations sind.
