什么是 AWS Config? - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS Config?

AWS Config 提供了您 AWS 账户中 AWS 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。

AWS 资源是您可以在中使用的实体 AWS,例如亚马逊弹性计算云 (EC2) 实例、亚马逊弹性区块存储 (EBS) 卷、安全组或亚马逊虚拟私有云 (VPC)。有关支持的 AWS 资源的完整列表 AWS Config,请参阅支持的资源类型

注意事项

  • AWS 账户: 你需要一个活跃 AWS 账户的。有关更多信息,请参阅注册 AWS

  • Amazon S3 存储桶:您需要一个 S3 存储桶才能接收配置快照和历史记录的数据。有关更多信息,请参阅 Amazon S3 存储桶的权限

  • Ama SNS zon Topic:当您的配置快照和历史记录发生更改时,您需要一个 Amazon SNS 才能收到通知。有关更多信息,请参阅 Amazon SNS 主题的权限

  • IAM角色:您需要一个具有必要访问权限的IAM角色 AWS Config。有关更多信息,请参阅IAM角色的权限

  • 资源类型:您可以决定 AWS Config 要记录哪些资源类型。有关更多信息,请参阅录制 AWS 资源

使用方式 AWS Config

在上运行应用程序时 AWS,通常会使用 AWS 资源,而这些资源必须共同创建和管理。随着对应用程序的需求不断增长,您跟踪 AWS 资源的需求也在不断增长。 AWS Config 旨在帮助您在以下情况下监督应用程序资源:

资源管理

为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。无论何时创建、修改或删除资源,您都可以使用 AWS Config 通知您,而不必通过轮询对每个资源的调用来监控这些更改。

您可以使用 AWS Config 规则来评估 AWS 资源的配置设置。当 AWS Config 检测到某个资源违反了您的某条规则中的条件时,会将该资源 AWS Config 标记为不合规并发送通知。 AWS Config 在创建、更改或删除您的资源时持续对其进行评估。

审计与合规性

您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。此信息由提供 AWS Config。

对配置更改进行管理与故障排除

当您使用相互依赖的多个 AWS 资源时,更改一个资源的配置可能会对相关资源产生意想不到的后果。使用 AWS Config,您可以查看您打算修改的资源与其他资源的关系,并评估更改的影响。

您也可以使用 AWS Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。

安全分析

要分析潜在的安全漏洞,您需要有关 AWS 资源配置的详细历史信息,例如授予用户的 AWS Identity and Access Management (IAM) 权限,或控制资源访问权限的 Amazon EC2 安全组规则。

您可以使用 AWS Config 查看在任何时候分配给正在录制的用户、组或角色的IAM策略。 AWS Config 这些信息可以帮助您确定在特定时间属于用户的权限:例如,您可以查看该用户John Doe是否有权在 2015 年 1 月 1 日修改亚马逊VPC设置。

您还可以 AWS Config 使用查看EC2安全组的配置,包括在特定时间打开的端口规则。此信息可以帮助您确定安全组是否阻止了TCP流向特定端口的传入流量。

合作伙伴解决方案

AWS 与第三方日志和分析专家合作,提供使用 AWS Config 输出的解决方案。欲了解更多信息,请访问 AWS Config 详情页面,网址为AWS Config

功能

设置后 AWS Config,您可以完成以下操作:

资源管理

  • 指定 AWS Config 要记录的资源类型。

规则和合规包

  • 指定要 AWS Config 用来评估所记录资源类型的合规性信息的规则。

  • 使用一致性包或可作为单个实体部署和监控的规则集合。 AWS 账户

    有关更多信息,请参阅使用 AWS Config 规则和一致性包评估资源。

修复

  • 修复由评估的不合规资源。 AWS Config 规则

    有关更多信息,请参阅修复

聚合器

  • 使用聚合器集中查看您的资源清单和合规性。聚合器将来自多个 AWS 账户 和 AWS 地区的 AWS Config 配置和合规性数据收集到单个账户和区域中。

    有关更多信息,请参阅多账户多区域数据聚合

高级查询