要记录和评估 AWS 资源的配置,可以使用 AWS Config,它为您提供分配配置的详细视图。这些信息包括资源彼此之间的关联方式以及资源过去的配置方式,以便您可以查看随时间发生的变化。
也可以使用 AWS Config 记录对 CloudFront 分配设置的配置更改。您可以捕获对分配状态、价格级别、源、地理限制设置和 Lambda@Edge 配置进行的更改。
注意
AWS Config 不记录 CloudFront 流分配的键/值标签。
使用 CloudFront 设置 AWS Config
在设置 AWS Config 时,您可以选择记录所有受支持的 AWS 资源,也可以只记录某些指定资源(例如,仅记录对 CloudFront 的更改)。要查看受支持 CloudFront 资源的列表,请参阅《AWS Config 开发人员指南》中“受支持的资源类型”主题的 Amazon CloudFront 部分。
注意
-
要跟踪对 CloudFront 分配进行的配置更改,您必须登录美国东部(弗吉尼亚州北部)AWS 区域的 CloudFront 控制台。
-
使用 AWS Config 记录资源可能会有延迟。AWS Config 仅在发现资源后记录资源。
使用 CloudFront 设置 AWS Config
登录到 AWS Management Console,然后通过以下网址打开 AWS Config 控制台:https://console.aws.amazon.com/config/
。 -
选择 Get Started Now。
-
在设置页面上,为要记录的资源类型指定您希望 AWS 记录的 AWS Config 资源类型。如果您希望仅记录 CloudFront 更改,请选择特定类型,然后在 CloudFront 下面选择要跟踪更改的分配或流分配。
要添加或更改要跟踪的分配,请在完成初始设置后选择左侧的设置。
-
为 AWS Config指定额外的必需选项:设置一个通知,为配置信息指定一个位置,然后添加用于评估资源类型的规则。
有关更多信息,请参阅《AWS Config 开发人员指南》中的使用控制台设置 AWS Config。
查看 CloudFront 配置历史记录
在 AWS Config 开始记录您的分配的配置更改后,您可以获取为 CloudFront 配置的任何分配的配置历史记录。
您可以使用以下方式查看配置历史记录。
对于每个已记录的资源,您可以查看时间线页面,该页面提供了配置详细信息的历史记录。要查看此页面,请选择专用主机页面的配置时间线列中的灰色图标。
有关更多信息,请参阅《AWS Config 开发人员指南》 中的在 AWS Config 控制台中查看配置详细信息。
使用 AWS Config 规则评估 CloudFront 配置
可以使用 AWS Config 规则根据所需的配置来评估配置。例如,AWS Config 规则有助于评估 CloudFront 资源是否符合常见的安全最佳实践。可以选择要在配置更改时触发的托管式规则,例如查看器策略 HTTPS、启用 SNI、启用 OAC、启用源失效转移、AWS WAF WebACL 或 AWS Shield Advanced 资源策略。
托管式规则可以按您选择的频率定期运行评估。AWS Firewall Manager 依赖于 AWS Config 来实现自动警报和补救。有关更多信息,请参阅《AWS Config 开发人员指南》中的 Evaluating Resources with AWS Config Rules 和 List of AWS Config Managed Rules。