Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Config terminologi dan konsep
Untuk membantu Anda memahami AWS Config, topik ini menjelaskan beberapa konsep kunci.
Daftar Isi
AWS Config Antarmuka
AWS Config Konsol
Anda dapat mengelola layanan menggunakan AWS Config konsol. Untuk informasi lebih lanjut tentang AWS Management Console, lihat AWS Management Console.
AWS Config CLI
AWS Command Line Interface Ini adalah alat terpadu yang dapat Anda gunakan untuk berinteraksi AWS Config dari baris perintah. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS Command Line Interface. Untuk daftar lengkap perintah AWS Config CLI, lihat Perintah yang Tersedia.
AWS Config API
Selain konsol dan CLI, Anda juga dapat menggunakan AWS Config RESTful API untuk memprogram secara langsung. AWS Config Untuk informasi lebih lanjut, lihat Referensi API AWS Config.
AWS Config SDK
Sebagai alternatif untuk menggunakan AWS Config API, Anda dapat menggunakan salah satu AWS SDK. Setiap SDK terdiri dari pustaka dan kode sampel untuk berbagai bahasa dan platform pemrograman. SDK menyediakan cara mudah untuk membuat akses terprogram ke. AWS Config Misalnya, Anda dapat menggunakan SDK untuk menandatangani permintaan secara kriptografis, mengelola kesalahan, dan mencoba ulang permintaan secara otomatis. Untuk informasi selengkapnya, lihat halaman Alat untuk Amazon Web Services
Manajemen Sumber Daya
Memahami komponen dasar AWS Config akan membantu Anda melacak inventaris sumber daya dan perubahan serta mengevaluasi konfigurasi AWS sumber daya Anda.
AWS Sumber Daya
AWS resource adalah entitas yang Anda buat dan kelola menggunakan AWS Management Console, AWS Command Line Interface (CLI), AWS SDK, atau AWS alat mitra. Contoh sumber AWS daya termasuk instans Amazon EC2, grup keamanan, VPC Amazon, dan Amazon Elastic Block Store. AWS Config mengacu pada setiap sumber daya menggunakan pengenal uniknya, seperti ID sumber daya atau Nama Sumber Daya Amazon (ARN). Untuk daftar jenis sumber daya yang AWS Config mendukung, lihatJenis Sumber Daya yang Didukung.
Hubungan Sumber Daya
AWS Config menemukan AWS sumber daya di akun Anda dan kemudian membuat peta hubungan antar AWS sumber daya. Misalnya, hubungan mungkin menyertakan volume Amazon EBS yang vol-123ab45d dilampirkan ke i-a1b2c3d4 instans Amazon EC2 yang terkait dengan grup keamanan. sg-ef678hk
Untuk informasi selengkapnya, lihat Jenis Sumber Daya yang Didukung.
Pencatat Konfigurasi
Perekam konfigurasi menyimpan konfigurasi sumber daya yang didukung di akun Anda sebagai item konfigurasi. Anda harus terlebih dahulu membuat dan kemudian memulai perekam konfigurasi sebelum Anda dapat mulai merekam. Anda dapat menghentikan dan memulai ulang perekam konfigurasi kapan saja. Untuk informasi selengkapnya, lihat Mengelola Perekam Konfigurasi.
Secara default, perekam konfigurasi merekam semua sumber daya yang didukung di wilayah tempat AWS Config berjalan. Anda dapat membuat perekam konfigurasi khusus yang hanya merekam jenis sumber daya yang Anda tentukan. Untuk informasi selengkapnya, lihat AWS Sumber Daya Rekaman.
Jika Anda menggunakan AWS Management Console atau CLI untuk mengaktifkan layanan, AWS Config secara otomatis membuat dan memulai perekam konfigurasi untuk Anda.
Saluran Pengiriman
Karena AWS Config terus-menerus mencatat perubahan yang terjadi pada AWS sumber daya Anda, ia mengirimkan pemberitahuan dan status konfigurasi yang diperbarui melalui saluran pengiriman. Anda dapat mengelola saluran pengiriman untuk mengontrol tempat AWS Config mengirim pembaruan konfigurasi.
Item Konfigurasi
Item konfigurasi mewakili point-in-time tampilan berbagai atribut AWS sumber daya yang didukung yang ada di akun Anda. Komponen item konfigurasi termasuk metadata, atribut, hubungan, konfigurasi saat ini, dan peristiwa terkait. AWS Config membuat item konfigurasi setiap kali mendeteksi perubahan pada jenis sumber daya yang direkam. Misalnya, jika AWS Config merekam bucket Amazon S3, AWS Config buat item konfigurasi setiap kali bucket dibuat, diperbarui, atau dihapus. Anda juga dapat memilih AWS Config untuk membuat item konfigurasi pada frekuensi perekaman yang Anda atur.
Untuk informasi lebih lanjut, lihat Components of a Configuration Item dan Frekuensi Perekaman.
Riwayat Konfigurasi
Riwayat konfigurasi adalah kumpulan item konfigurasi untuk sumber daya tertentu selama periode waktu apa pun. Riwayat konfigurasi dapat membantu Anda menjawab pertanyaan tentang, misalnya, kapan sumber daya pertama kali dibuat, bagaimana sumber daya telah dikonfigurasi selama sebulan terakhir, dan perubahan konfigurasi apa yang diperkenalkan kemarin pukul 9 pagi. Riwayat konfigurasi tersedia untuk Anda dalam berbagai format. AWS Config secara otomatis mengirimkan file riwayat konfigurasi untuk setiap jenis sumber daya yang direkam ke bucket Amazon S3 yang Anda tentukan. Anda dapat memilih sumber daya tertentu di AWS Config konsol dan menavigasi ke semua item konfigurasi sebelumnya untuk sumber daya tersebut menggunakan timeline. Selain itu, Anda dapat mengakses item konfigurasi historis untuk sumber daya dari API.
Untuk informasi selengkapnya, lihat Melihat Riwayat Kepatuhan dan Meminta Riwayat Kepatuhan.
Snapshot Konfigurasi
Snapshot konfigurasi adalah kumpulan item konfigurasi untuk sumber daya yang didukung yang ada di akun Anda. Snapshot konfigurasi ini adalah gambaran lengkap dari sumber daya yang sedang direkam dan konfigurasinya. Snapshot konfigurasi dapat menjadi alat yang berguna untuk memvalidasi konfigurasi Anda. Misalnya, Anda mungkin ingin memeriksa snapshot konfigurasi secara teratur untuk sumber daya yang dikonfigurasi secara tidak benar atau yang berpotensi tidak ada. Snapshot konfigurasi tersedia dalam berbagai format. Snapshot konfigurasi dapat dikirimkan ke bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan. Selain itu, Anda dapat memilih titik waktu di AWS Config konsol dan menavigasi snapshot item konfigurasi menggunakan hubungan antar sumber daya.
Untuk informasi selengkapnya, lihat Menyampaikan Snapshot Konfigurasi, Melihat Snapshot Konfigurasi, dan Contoh Snapshot Konfigurasi.
Aliran Konfigurasi
Aliran konfigurasi adalah daftar yang diperbarui secara otomatis dari semua item konfigurasi untuk sumber daya AWS Config yang direkam. Setiap kali sumber daya dibuat, dimodifikasi, atau dihapus, AWS Config buat item konfigurasi dan tambahkan ke aliran konfigurasi. Aliran konfigurasi berfungsi dengan menggunakan topik Amazon Simple Notification Service (Amazon SNS) pilihan Anda. Aliran konfigurasi sangat membantu untuk mengamati perubahan konfigurasi saat terjadi sehingga Anda dapat menemukan potensi masalah, menghasilkan pemberitahuan jika sumber daya tertentu diubah, atau memperbarui sistem eksternal yang perlu mencerminkan konfigurasi sumber AWS daya Anda.
AWS Config Aturan
AWS Config Aturan mewakili pengaturan konfigurasi yang Anda inginkan untuk AWS sumber daya tertentu atau untuk keseluruhan Akun AWS. Jika sumber daya tidak lulus pemeriksaan aturan, tandai sumber daya dan aturan sebagai tidak sesuai, dan AWS Config memberi tahu Anda melalui Amazon AWS Config SNS. Berikut ini adalah hasil evaluasi yang mungkin untuk suatu AWS Config aturan:
-
COMPLIANT- aturan melewati kondisi pemeriksaan kepatuhan. -
NON_COMPLIANT- aturan gagal dalam kondisi pemeriksaan kepatuhan. -
ERROR- salah satu parameter yang diperlukan/opsional tidak valid, bukan dari jenis yang benar, atau diformat secara tidak benar. -
NOT_APPLICABLE- digunakan untuk menyaring sumber daya yang logika aturan tidak dapat diterapkan. Misalnya, alb-desync-mode-checkaturan hanya memeriksa Application Load Balancers, dan mengabaikan Network Load Balancers dan Gateway Load Balancers.
Ada dua jenis aturan: Aturan AWS Config Terkelola dan Aturan AWS Config Kustom. Untuk informasi selengkapnya tentang struktur definisi aturan dan metadata aturan, lihat Komponen Aturan. AWS Config
AWS Config Aturan Terkelola
AWS Config Aturan Terkelola adalah aturan yang telah ditentukan sebelumnya dan dapat disesuaikan yang dibuat oleh. AWS Config Untuk daftar aturan terkelola, lihat Daftar Aturan AWS Config Terkelola.
AWS Config Aturan Kustom
AWS Config Aturan Kustom adalah aturan yang Anda buat dari awal. Ada dua cara untuk membuat aturan AWS Config khusus: dengan fungsi Lambda (Panduan AWS Lambda Pengembang) dan dengan Guard (Guard GitHub Repository
Untuk panduan yang menunjukkan cara membuat Aturan Kebijakan AWS Config Kustom, lihat Membuat Aturan Kebijakan AWS Config Kustom. Untuk panduan yang menunjukkan cara membuat Aturan AWS Config Lambda Kustom, lihat Membuat Aturan Lambda Kustom AWS Config.
Jenis Pemicu
Setelah Anda menambahkan aturan ke akun Anda, AWS Config bandingkan sumber daya Anda dengan ketentuan aturan. Setelah evaluasi awal ini, AWS Config terus jalankan evaluasi setiap kali dipicu. Pemicu evaluasi didefinisikan sebagai bagian dari aturan, dan mereka dapat mencakup jenis berikut.
| Jenis pemicu | Deskripsi |
|---|---|
| Perubahan konfigurasi | AWS Config menjalankan evaluasi untuk aturan ketika ada sumber daya yang cocok dengan cakupan aturan dan ada perubahan konfigurasi sumber daya. Evaluasi berjalan setelah AWS Config mengirimkan pemberitahuan perubahan item konfigurasi. Anda memilih sumber daya mana yang memulai evaluasi dengan menentukan ruang lingkup aturan. Ruang lingkup dapat mencakup yang berikut:
AWS Config menjalankan evaluasi saat mendeteksi perubahan pada sumber daya yang cocok dengan cakupan aturan. Anda dapat menggunakan ruang lingkup untuk menentukan sumber daya mana yang memulai evaluasi. |
| Berkala | AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda pilih; misalnya, setiap 24 jam. |
| Hibrida | Beberapa aturan memiliki perubahan konfigurasi dan pemicu periodik. Untuk aturan ini, AWS Config evaluasi sumber daya Anda saat mendeteksi perubahan konfigurasi dan juga pada frekuensi yang Anda tentukan. |
Mode evaluasi
Ada dua mode evaluasi untuk AWS Config aturan.
| Mode evaluasi | Deskripsi |
|---|---|
| Proaktif | Gunakan evaluasi proaktif untuk mengevaluasi sumber daya sebelum digunakan. Ini memungkinkan Anda untuk mengevaluasi apakah satu set properti sumber daya, jika digunakan untuk mendefinisikan AWS sumber daya, akan COMPLIANT atau NON_COMPLIANT mengingat seperangkat aturan proaktif yang Anda miliki di akun Anda di Wilayah Anda. Untuk informasi selengkapnya, lihat Mode evaluasi. Untuk daftar aturan terkelola yang mendukung evaluasi proaktif, lihat Daftar Aturan AWS Config Terkelola menurut Mode Evaluasi. |
| Detective | Gunakan evaluasi detektif untuk mengevaluasi sumber daya yang telah digunakan. Ini memungkinkan Anda untuk mengevaluasi pengaturan konfigurasi sumber daya yang ada. |
catatan
Aturan proaktif tidak memulihkan sumber daya yang ditandai sebagai NON_COMPLIANT atau mencegahnya diterapkan.
Paket Kesesuaian
Paket kesesuaian adalah kumpulan AWS Config aturan dan tindakan remediasi yang dapat dengan mudah digunakan sebagai entitas tunggal dalam akun dan Wilayah atau di seluruh organisasi di. AWS Organizations
Paket kesesuaian dibuat dengan membuat template YAMAL yang berisi daftar aturan AWS Config terkelola atau kustom dan tindakan remediasi. Anda dapat menerapkan template dengan menggunakan AWS Config konsol atau file. AWS CLI
Untuk memulai dengan cepat dan mengevaluasi AWS lingkungan Anda, gunakan salah satu contoh templat paket kesesuaian. Anda juga dapat membuat paket kesesuaian file YAMG dari awal berdasarkan Paket Kesesuaian Kustom. Paket kesesuaian kustom adalah kumpulan AWS Config aturan dan tindakan remediasi unik yang dapat Anda terapkan bersama di akun dan AWS Wilayah, atau di seluruh organisasi di. AWS Organizations
Pemeriksaan proses adalah jenis AWS Config aturan yang memungkinkan Anda melacak tugas eksternal dan internal Anda yang memerlukan verifikasi sebagai bagian dari paket kesesuaian. Pemeriksaan ini dapat ditambahkan ke paket kesesuaian yang ada atau paket kesesuaian baru. Anda dapat melacak semua kepatuhan yang mencakup AWS Config urasi dan pemeriksaan manual di satu lokasi.
Agregasi Data Multi-Wilayah Multi-Akun
Agregasi data multi-wilayah multi-akun AWS Config memungkinkan Anda untuk menggabungkan AWS Config konfigurasi dan data kepatuhan dari beberapa akun dan wilayah ke dalam satu akun. Agregasi data multi-wilayah multi-akun berguna bagi administrator TI pusat untuk memantau kepatuhan untuk beberapa Akun AWS di perusahaan. Menggunakan agregator tidak menimbulkan biaya tambahan.
Akun Sumber
Akun sumber adalah Akun AWS dari mana Anda ingin menggabungkan konfigurasi AWS Config sumber daya dan data kepatuhan. Akun sumber dapat berupa akun individu atau organisasi di AWS Organizations. Anda dapat memberikan akun sumber satu per satu atau Anda dapat mengambilnya. AWS Organizations
Wilayah Sumber
Wilayah sumber adalah AWS Wilayah tempat Anda ingin menggabungkan AWS Config konfigurasi dan data kepatuhan.
Agregator
Agregator mengumpulkan data AWS Config konfigurasi dan kepatuhan dari beberapa akun sumber dan wilayah. Buat agregator di wilayah tempat Anda ingin melihat AWS Config konfigurasi gabungan dan data kepatuhan.
catatan
Agregator menyediakan tampilan hanya-baca ke dalam akun sumber dan wilayah yang agregator berwenang untuk melihat dengan mereplikasi data dari akun sumber ke akun agregator. Agregator tidak menyediakan akses bermutasi ke akun sumber atau wilayah. Misalnya, ini berarti Anda tidak dapat menerapkan aturan melalui agregator atau mendorong file snapshot ke akun sumber atau wilayah melalui agregator.
Akun Agregator
Akun agregator adalah akun tempat Anda membuat agregator.
Otorisasi
Sebagai pemilik akun sumber, otorisasi mengacu pada izin yang Anda berikan ke akun agregator dan wilayah untuk mengumpulkan data AWS Config konfigurasi dan kepatuhan Anda. Otorisasi tidak diperlukan jika Anda menggabungkan akun sumber yang merupakan bagian dari. AWS Organizations
