Come AWS Config funziona - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come AWS Config funziona

AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo AWS account. Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo.

Una AWS risorsa è un'entità su cui puoi lavorare AWS, ad esempio un'istanza Amazon Elastic Compute Cloud (EC2), un volume Amazon Elastic Block Store (EBS), un gruppo di sicurezza o un Amazon Virtual Private Cloud (VPC). Per un elenco completo delle AWS risorse supportate da, consulta. AWS ConfigTipi di risorsa supportati

L'immagine mostra una panoramica di alto livello del funzionamento AWS Config . Illustra il flusso di informazioni da varie AWS risorse a AWS Config, che quindi archivia i dati di configurazione in un bucket Amazon S3. Il processo coinvolge il registratore di configurazione, AWS Config le regole e il canale di distribuzione. L'obiettivo è tracciare e gestire le configurazioni delle risorse all'interno di un AWS ambiente.

Scoperta delle risorse

All'attivazione AWS Config, rileva innanzitutto AWS le risorse supportate presenti nel tuo account e genera un elemento di configurazione per ogni risorsa.

AWS Config genera inoltre elementi di configurazione quando la configurazione di una risorsa cambia e conserva i record cronologici degli elementi di configurazione delle risorse dal momento in cui si avvia il registratore di configurazione. Per impostazione predefinita, AWS Config crea elementi di configurazione per ogni risorsa supportata nella regione. Se non desideri AWS Config creare elementi di configurazione per tutte le risorse supportate, puoi specificare i tipi di risorse che desideri vengano monitorati.

Prima di specificare un tipo di risorsa da AWS Config monitorare, controlla la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella AWS regione in cui stai effettuando la configurazione AWS Config. Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate dalla AWS regione in cui stai AWS Config configurando AWS Config, anche se il tipo di risorsa specificato non è supportato.

Monitoraggio delle risorse

AWS Config tiene traccia di tutte le modifiche alle tue risorse richiamando la chiamata API Descrivi o List per ogni risorsa del tuo account. Il servizio utilizza le stesse chiamate API per acquisire i dettagli della configurazione per tutte le risorse correlate.

Ad esempio, se si rimuove una regola di uscita da un gruppo di sicurezza VPC, viene AWS Config richiamata una chiamata API Descrive sul gruppo di sicurezza. AWS Config quindi richiama una chiamata API Descrivi su tutte le istanze associate al gruppo di sicurezza. Le configurazioni aggiornate del gruppo di sicurezza (la risorsa) e di ciascuna istanza (le risorse correlate) sono registrate come elementi della configurazione e distribuite in un flusso di configurazione su un bucket Amazon Simple Storage Service (Amazon S3).

AWS Config tiene traccia anche delle modifiche alla configurazione che non sono state avviate dall'API. AWS Config esamina periodicamente le configurazioni delle risorse e genera elementi di configurazione per le configurazioni che sono state modificate.

Se si utilizzano AWS Config regole, valuta AWS Config continuamente le configurazioni AWS delle risorse per verificare le impostazioni desiderate. A seconda della regola, AWS Config valuterà le risorse in risposta alle modifiche di configurazione o periodicamente. Ogni regola è associata a una funzione AWS Lambda , che contiene la logica di valutazione della regola. Quando AWS Config valuta le risorse, richiama la funzione della regola. AWS Lambda La funzione restituisce lo stato di conformità delle risorse valutate. Se una risorsa viola le condizioni di una regola, AWS Config contrassegna la risorsa e la regola come non conformi. Quando lo stato di conformità di una risorsa cambia, AWS Config invia una notifica al tuo argomento Amazon SNS.

Consegna degli elementi di configurazione

AWS Config può fornire gli elementi di configurazione tramite uno dei seguenti canali:

Bucket Amazon S3

AWS Config tiene traccia delle modifiche nella configurazione delle AWS risorse e invia regolarmente dettagli di configurazione aggiornati a un bucket Amazon S3 da te specificato. Per ogni tipo di risorsa AWS Config registrato, invia un file di cronologia della configurazione ogni sei ore. Ogni file cronologia della configurazione contiene i dettagli sulle risorse che sono state modificate in tale periodo di sei ore. Ogni file include risorse di un solo tipo, ad esempio istanze Amazon EC2 o volumi Amazon EBS. Se non viene apportata alcuna modifica alla configurazione, AWS Config non invia un file.

AWS Config invia uno snapshot di configurazione al tuo bucket Amazon S3 quando usi il comando deliver-config-snapshot con la CLI o quando usi AWS l'azione Snapshot con l'API. DeliverConfig AWS Config Uno snapshot di configurazione contiene i dettagli di configurazione per tutte le risorse registrate nel tuo. AWS Config Account AWS Il file della cronologia della configurazione e lo snapshot della configurazione sono in formato JSON.

Nota

AWS Config fornisce solo i file di cronologia della configurazione e le istantanee di configurazione al bucket S3 specificato; AWS Config non modifica le politiche del ciclo di vita per gli oggetti nel bucket S3. Puoi utilizzare policy del ciclo di vita per specificare se desideri eliminare o archiviare gli oggetti in Amazon S3 Glacier. Per ulteriori informazioni, consulta Gestione della configurazione del ciclo di vita nella Guida per l'utente di Amazon Simple Storage Service. Puoi anche consultare il post Archiviazione dei dati Amazon S3 su S3 Glacier sul blog.

Argomento Amazon SNS

Un argomento Amazon Simple Notification Service (Amazon SNS) è un canale di comunicazione che Amazon SNS utilizza per distribuire i messaggi (o le notifiche) verso endpoint di sottoscrizione, ad esempio un indirizzo e-mail o client. Altri tipi di notifiche Amazon SNS includono messaggi di notifica push verso applicazioni su cellulari, notifiche SMS (Short Message Service) verso cellulari e smartphone abilitati e richieste HTTP POST. Per ottenere i risultati migliori, utilizza Amazon SQS come endpoint di notifica per l'argomento SNS ed elabora poi le informazioni contenute nella notifica a livello di programmazione.

AWS Config utilizza l'argomento Amazon SNS che hai specificato per inviarti notifiche. Il tipo di notifica che ricevi è indicato dal valore della chiave messageType nel corpo messaggio, come nell'esempio seguente:

"messageType": "ConfigurationHistoryDeliveryCompleted"

Le notifiche possono essere uno dei seguenti tipi di messaggi.

Tipo di messaggio Descrizione
ComplianceChangeNotifica Il tipo di conformità di una risorsa che AWS Config valuta è cambiato. Il tipo di conformità indica se la risorsa è conforme a una AWS Config regola specifica ed è rappresentato dalla ComplianceType chiave del messaggio. Il messaggio include oggetti newEvaluationResult e oldEvaluationResult per il confronto.
ConfigRulesEvaluationStarted AWS Config ha iniziato a valutare la regola rispetto alle risorse specificate.
ConfigurationSnapshotDeliveryStarted AWS Config ha iniziato a fornire lo snapshot di configurazione al tuo bucket Amazon S3. Il nome del bucket Amazon S3 viene indicato dalla chiave s3Bucket nel messaggio.
ConfigurationSnapshotDeliveryCompleted AWS Config ha inviato con successo lo snapshot di configurazione al tuo bucket Amazon S3.
ConfigurationSnapshotDeliveryFailed AWS Config non è riuscito a fornire lo snapshot di configurazione al tuo bucket Amazon S3.
ConfigurationHistoryDeliveryCompleted AWS Config ha inviato con successo la cronologia di configurazione al tuo bucket Amazon S3.
ConfigurationItemChangeNotification Una risorsa è stata creata, eliminata o modificata nella configurazione. Questo messaggio include i dettagli dell'elemento di configurazione AWS Config creato per questa modifica e include il tipo di modifica. Queste notifiche vengono distribuiti entro pochi minuti dalla modifica e sono collettivamente note con il nome di flusso di configurazione.
OversizedConfigurationItemChangeNotification Questo tipo di messaggio viene recapitato quando la notifica della modifica di un elemento della configurazione supera le dimensioni massime consentite da Amazon SNS. Il messaggio include un riepilogo dell'elemento della configurazione. Ad eccezione dei messaggi SMS, i messaggi Amazon SNS possono contenere fino a 256 KB di dati di testo, tra cui XML, JSON e testo non formattato. Puoi visualizzare la notifica completa seguendo il percorso del bucket Amazon S3 specificato.
OversizedConfigurationItemChangeDeliveryFailed AWS Config non è riuscito a inviare la notifica di modifica dell'elemento di configurazione sovradimensionato al tuo bucket Amazon S3.

Per degli esempi di notifiche, consulta Notifiche che AWS Config Invia a un SNS argomento Amazon. Per ulteriori informazioni su Amazon SNS, consultare la Guida per gli sviluppatori di Amazon Simple Notification Service.

Nota

Perché non riesco a vedere le mie ultime modifiche alla configurazione?

AWS Config di solito registra le modifiche alla configurazione delle risorse subito dopo che viene rilevata una modifica o alla frequenza specificata. Tuttavia, questa operazione viene effettuata con il massimo impegno e a volte può richiedere più tempo. Se i problemi persistono dopo qualche tempo, contatta AWS Supporte fornisci i tuoi AWS Config parametri supportati da Amazon. CloudWatch Per informazioni su queste metriche, consulta Metriche di AWS Config utilizzo e successo.

Controlla l'accesso a AWS Config

AWS Identity and Access Management è un servizio Web che consente ai clienti di Amazon Web Services (AWS) di gestire gli utenti e le autorizzazioni degli utenti.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

  • Utenti IAM:

    • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

    • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.