本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS Config?
AWS Config 提供了关于您的 AWS 账户中 AWS 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。
AWS *资源*是您可以在 AWS 中使用的实体,例如 Amazon Elastic Compute Cloud(EC2)实例、Amazon Elastic Block Store(EBS)卷、安全组或 Amazon 虚拟私有云(VPC)。有关 AWS 支持的 AWS Config 资源的完整列表,请参阅 [支持的资源类型 AWS Config](resource-config-reference.md)
## 注意事项
+ **AWS 账户**:您需要一个活跃。AWS 账户有关更多信息,请参阅[注册。AWS](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html#getting-started-signing-up)
+ **Amazon S3 存储桶**:您需要一个 S3 存储桶才能接收配置快照和历史记录的数据。有关更多信息,请参阅 [Amazon S3 存储桶的权限](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html)。
+ **Amazon SNS 主题**:当您的配置快照和历史记录发生变化时,您需要 Amazon SNS 才能收到通知。有关更多信息,请参阅 [Amazon SNS 主题的权限](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-policy.html)。
+ **IAM 角色**:您需要一个 IAM 角色,该角色有权访问。AWS Config有关更多信息,请参阅 [IAM 角色的权限](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html)。
+ **资源类型**:您可以决定希望 AWS Config 记录哪些资源类型。有关更多信息,请参阅[记录 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## AWS Config 的使用方式
当您在 AWS 上运行应用程序时,您通常要使用 AWS 资源,这些资源必须共同创建与管理。随着对应用程序的需求的不断增加,记录您的 AWS 资源的需求也在不断增加。AWS Config 可以在以下场景中帮助您监督自己的应用程序资源:
### 资源管理
为了更好地管理您的资源配置并检测资源的错误配置,您需随时详细了解存在哪些资源以及这些资源的配置方式。AWS Config 可以在资源被创建、修改或删除时向您发送通知,不需要您通过对各个资源进行轮询来监控这些资源更改。
您可以使用 AWS Config 规则来评估您的 AWS 资源的配置设置。当 AWS Config 检测到不符合某项规则中的条件的资源时,AWS Config 会将其标记为不合规资源并发送通知。AWS Config 会在您的资源被创建、更改或删除时持续对其进行评估。
### 审计与合规性
您使用的数据可能需要频繁审计,以确保其符合内部策略与最佳实践。为了证实合规性,您需要了解资源的历史配置。AWS Config 可以提供这一信息。
### 对配置更改进行管理与故障排除
当您使用相互依赖的多个 AWS 资源时,一项资源配置的更改可能对相关资源造成意外后果。利用,AWS Config您可以查看您准备修改的资源如何与其他资源相关联,并评估更改所产生的影响。
您也可以使用 AWS Config 提供的资源历史配置来解决问题,并确定问题资源的最后正确配置。
### 安全分析
要分析潜在的安全漏洞,您需要了解有关您的 AWS 资源配置的详细历史记录信息,例如向您的用户授予的 AWS Identity and Access Management(IAM)权限或者控制对资源的访问的 Amazon EC2 安全组规则。
您可以使用 AWS Config 随时查看 AWS Config 正在记录的分配给用户、组或角色的 IAM 策略。这一信息可以帮助您确定用户在特定时间内具备的权限:例如,您可以查看用户 `John Doe` 在 2015 年 1 月 1 日是否拥有修改 Amazon VPC 设置的权限。
您也可以使用 AWS Config 来查看您的 EC2 安全组的配置,包括在特定时间打开的端口规则。这一信息可以帮您确定安全组是否会阻止传入 TCP 流量传输至特定端口。
### 合作伙伴解决方案
AWS 与日志记录和分析方面的第三方专家协作以提供利用 AWS Config 输出的解决方案。有关更多信息,请访问位于 [AWS Config](https://aws.amazon.com/config) 的 AWS Config 详细信息页面。
## 特征
在您设置 AWS Config 时,可以完成以下操作:
**资源管理**
+ 指定您希望 AWS Config 记录的资源类型。
+ 设置 Amazon S3 桶以接收配置快照(按需)和配置历史记录。
+ 设置 Amazon SNS 以发送配置流通知。
+ 向 AWS Config 授予访问 Amazon S3 存储桶和 Amazon SNS 主题所需的权限。
有关更多信息,请参阅[查看 AWS 资源配置和历史记录](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)以及[管理 AWS 资源配置和历史记录](https://docs.aws.amazon.com/config/latest/developerguide/aws-config-landing-page.html)。
**规则和合规包**
+ 指定您希望 AWS Config 评估所记录资源类型的合规性信息使用的规则。
+ 使用合规包或一系列规则,这些规则可作为 AWS 账户中的单个实体进行部署和监控。
有关更多信息,请参阅[使用 AWS Config 规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)和[合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)。
**补救措施**:
+ 修复由 AWS Config 规则 评估的不合规资源。
有关更多信息,请参阅[修正](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。
**聚合器**
+ 使用聚合器集中查看您的资源清单和合规性。聚合器会将多个 AWS 账户和 AWS 区域中的 AWS Config 配置和合规性数据收集到一个账户和区域中。
有关更多信息,请参阅[多账户多区域数据聚合](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)。
**高级查询**
+ 使用其中一个示例查询,或者参考 AWS 资源的配置架构编写自己的查询。
有关更多信息,请参阅[查询 AWS 资源的当前配置状态](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html)。
# AWS Config 工作原理
AWS Config 提供了您 AWS 账户中 AWS 资源配置的详细视图。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。
AWS *资源*是您可以在其中使用的实体 AWS,例如亚马逊弹性计算云 (EC2) 实例、亚马逊弹性区块存储 (EBS) 卷、安全组或亚马逊虚拟私有云 (VPC) 虚拟私有云 (VPC)。有关支持的 AWS 资源的完整列表 AWS Config,请参阅[支持的资源类型 AWS Config](resource-config-reference.md)。
![\[该图像描绘了 AWS Config 工作原理的高级概述。它说明了从各种 AWS 资源流向的信息流 AWS Config,然后这些资源将配置数据存储在 Amazon S3 存储桶中。该过程涉及配置记录器、 AWS Config 规则和交付渠道。目标是跟踪和管理 AWS 环境中的资源配置。\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/images/how-AWSconfig-works-2.png)
## 资源发现
开启后 AWS Config,它会首先发现您账户中存在的受支持 AWS 资源,然后为每种资源生成一个[配置项目](config-concepts.md#config-items)。
AWS Config 当资源配置发生变化时,它还会生成配置项目,并且它会维护自启动配置记录器之时起的资源配置项目的历史记录。默认情况下, AWS Config 会为该区域中所有支持的资源创建配置项目。如果您不 AWS Config 想为所有支持的资源创建配置项目,则可以指定希望它跟踪的资源类型。
在指定 AWS Config 要跟踪的资源类型之前,请检查[按区域可用性划分的资源覆盖率](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html),以查看您设置的 AWS 区域是否支持该资源类型 AWS Config。如果至少有一个区域支持某种资源类型,则即使您正在设置的区域不支持指定的资源类型 AWS Config,您也可以在支持的所有 AWS 区域中启用该资源类型的记录 AWS Config。 AWS Config
## 资源跟踪
AWS Config 通过对账户中的每个资源调用 Describe 或 List API 调用,跟踪资源的所有更改。该服务使用相同的 API 调用来捕获所有相关资源的配置详细信息。
例如,从 VPC 安全组中移除出口规则会导致 AWS Config 在该安全组上调用 Describe API 调用。 AWS Config 然后在与安全组关联的所有实例上调用 Describe API 调用。安全组(资源)以及每个实例(相关资源)的更新后配置将被记录为配置项,并以配置流的形式传送到 Amazon Simple Storage Service(Amazon S3)存储桶。
AWS Config 还会跟踪不是由 API 启动的配置更改。 AWS Config 定期检查资源配置,并为已更改的配置生成配置项目。
如果您使用的是 AWS Config 规则,请 AWS Config 持续评估您的 AWS 资源配置以确定所需的设置。根据规则, AWS Config 将根据配置更改或定期评估您的资源。每个规则都与一个 AWS Lambda 函数关联,其中包含规则的评估逻辑。在 AWS Config 评估您的资源时,它会调用规则的函数。 AWS Lambda 该函数会返回被评估资源的合规性状态。如果资源违反了规则的条件,则会将该资源和规则 AWS Config 标记为不合规。当资源的合规状态发生变化时, AWS Config 会向您的 Amazon SNS 主题发送通知。
## 配置项的交付
AWS Config 可以通过以下渠道之一交付配置项目:
### Amazon S3 存储桶
AWS Config 跟踪 AWS 资源配置的变化,并定期将更新的配置详细信息发送到您指定的 Amazon S3 存储桶。对于每种 AWS Config 记录的资源类型,它每六小时发送一次*配置历史记录文件*。每个配置历史记录文件中都包含前 6 小时内发生更改的资源的详细信息。每个文件均包含一种类型的资源,例如 Amazon EC2 实例或 Amazon EBS 卷。如果没有发生配置更改,则 AWS Config 不发送文件。
AWS Config 当您在 CLI 中使用[deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html)命令或在 AWS Config AP AWS I 中使用[DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html)操作时,会将*配置快照*发送到您的 Amazon S3 存储桶。配置快照包含 AWS Config 在您的 AWS 账户中记录的所有资源的配置详细信息。配置历史记录文件和配置快照均采用 JSON 格式。
**注意**
AWS Config 仅将配置历史文件和配置快照传送到指定的 S3 存储桶; AWS Config 不会修改 S3 存储桶中对象的生命周期策略。您可以使用生命周期策略指定是删除对象,还是将对象存档到 Amazon Glacier。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[管理生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LifecycleConfiguration.html)。您还可以查看[将 Amazon S3 数据存档到 Amazon Glacier](https://aws.amazon.com/blogs/aws/archive-s3-to-glacier/) 博客文章。
### Amazon SNS 主题
Amazon Simple Notification Service(Amazon SNS)主题是一个沟通渠道,Amazon SNS 使用它将消息(或*通知*)传送到订阅端点,例如电子邮箱地址或客户端。其他类型的 Amazon SNS 通知包括传送到手机应用程序上的推送通知消息、传送到支持短信服务功能的手机上的短信服务(SMS)通知以及 HTTP POST 请求。为了获得最佳效果,请使用 SQS 作为 SNS 主题的通知端点,然后以编程方式处理通知中的信息。
AWS Config 使用您指定的 Amazon SNS 主题向您发送通知。您收到的通知的类型由消息正文中的 `messageType` 键的值体现,如以下示例所示:
```
"messageType": "ConfigurationHistoryDeliveryCompleted"
```
通知可以是以下任一类型的消息。
| **消息类型** | **描述** |
| --- | --- |
| ComplianceChangeNotification | AWS Config 评估的资源的合规性类型已更改。合规性类型表示资源是否符合特定 AWS Config 规则,它由消息中的ComplianceType密钥表示。消息中包含 newEvaluationResult 和 oldEvaluationResult 对象,以便进行比较。 |
| ConfigRulesEvaluationStarted | AWS Config 已开始根据指定资源评估您的规则。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config 已开始将配置快照传送到您的 Amazon S3 存储桶。Amazon S3 存储桶的名称是为消息中的 s3Bucket 键提供的。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config 已成功将配置快照传送到您的 Amazon S3 存储桶。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config 未能将配置快照传送到您的 Amazon S3 存储桶。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config 已成功将配置历史记录传送到您的 Amazon S3 存储桶。 |
| ConfigurationItemChangeNotification | 某个资源的已被创建、删除或更改配置。此消息包括为此更改 AWS Config 创建的配置项目的详细信息,还包括更改的类型。上述通知均在发生更改后的几分钟内传送,统称为配置流。 |
| OversizedConfigurationItemChangeNotification | 当配置项变更通知超出了 Amazon SNS 允许的最大大小时,会传送此消息类型。消息中包括配置项摘要。除短信外,Amazon SNS 消息最多可以包含 256 KB 的文本数据,包括 XML、JSON 和未格式化的文本。您可以在指定的 Amazon S3 存储桶位置查看完整通知。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config 未能将超大配置项目变更通知传送到您的 Amazon S3 存储桶。 |
有关示例通知,请参阅 [AWS Config 发送至 Amazon SNS 主题的通知](notifications-for-AWS-Config.md) 有关 Amazon SNS 的更多信息,请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**注意**
**为什么我看不到我最新的配置更改?**
AWS Config 通常会在检测到更改后立即或按您指定的频率记录对资源的配置更改。但是,这需要尽最大努力,有时可能需要更长的时间。如果问题在一段时间后仍然存在,请联系[支持](https://aws.amazon.com/contact-us/)并提供亚马逊 CloudWatch支持的 AWS Config 指标。有关这些指标的信息,请参阅[AWS Config 使用情况和成功指标](https://docs.aws.amazon.com/config/latest/developerguide/viewing-the-aws-config-dashboard.html)。
## 控制对的访问权限 AWS Config
AWS Identity and Access Management 是一项网络服务,可让 Amazon Web Services (AWS) 客户管理用户和用户权限。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
# AWS Config 术语和概念
为了帮助您理解 AWS Config,本主题解释了一些关键概念。
**Contents**
+ [AWS Config 接口](#config-concepts-manage)
+ [AWS Config 控制台](#config-concepts-console)
+ [AWS Config CLI](#config-concepts-cli)
+ [AWS Config APIs](#config-concepts-api)
+ [AWS Config SDKs](#config-concepts-sdk)
+ [资源管理](#config-platform-concept)
+ [AWS Resources](#aws-resources)
+ [资源关系](#resource-relationship)
+ [配置记录器](#config-recorder)
+ [传输通道](#delivery-channel)
+ [配置项](#config-items)
+ [配置历史](#config-history)
+ [配置快照](#config-snapshot)
+ [配置流](#config-stream)
+ [AWS Config 规则](#aws-config-rules)
+ [评估结果](#aws-config-managed-rules-evaluation-results)
+ [规则类型](#aws-config-managed-rules-type)
+ [触发器类型](#aws-config-rules-trigger)
+ [评估模式](#aws-config-rules-proactive-detective)
+ [合规包](#aws-config-conformance-packs)
+ [多账户多区域数据聚合](#multi-account-multi-region-data-aggregation)
+ [源账户](#source-accounts)
+ [源区域](#source-region)
+ [聚合器](#aggregator)
+ [服务相关聚合器](#aggregator-service-linked)
+ [聚合器账户](#aggregator-accounts)
+ [Authorization](#authorization)
## AWS Config 接口
### AWS Config 控制台
您可以使用 AWS Config 控制台管理服务。有关更多信息 AWS 管理控制台,请参阅[AWS 管理控制台](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)。
### AWS Config CLI
AWS Command Line Interface 是一个统一的工具,可用于 AWS Config 从命令行与之交互。有关更多信息,请参阅 [AWS Command Line Interface 《用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。有关 C AWS Config LI 命令的完整列表,请参阅[可用命令](https://docs.aws.amazon.com/cli/latest/reference/configservice/index.html)。
### AWS Config APIs
除了控制台和 CLI 之外,您还可以 AWS Config 直接使用 AWS Config RESTful APIs 进行编程。有关更多信息,请参阅 [AWS Config API 参考](https://docs.aws.amazon.com/config/latest/APIReference/)。
### AWS Config SDKs
除了使用 AWS Config API 之外,您还可以使用其中一个 AWS SDKs。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。 SDKs 提供了一种创建编程访问权限的便捷方式 AWS Config。例如,您可以使用对请求 SDKs 进行加密签名、管理错误和自动重试请求。有关更多信息,请参阅[用于 Amazon Web Services 的工具](https://aws.amazon.com/tools/)页面。
## 资源管理
了解的基本组成部分 AWS Config 将有助于您跟踪资源清单和更改,并评估 AWS 资源的配置。
### AWS Resources
*AWS 资源*是您使用、 AWS Command Line Interface (CLI) AWS 管理控制台 AWS SDKs、或 AWS 合作伙伴工具创建和管理的实体。 AWS 资源示例包括亚马逊 EC2 实例、安全组 VPCs、亚马逊和亚马逊弹性区块存储。 AWS Config 使用其唯一标识符来指代每种资源,例如资源 ID 或 A [mazon 资源名称 (ARN](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN))。有关 AWS Config 支持的资源类型的列表,请参阅[支持的资源类型 AWS Config](resource-config-reference.md)。
### 资源关系
AWS Config 发现您账户中的 AWS 资源,然后创建 AWS 资源之间的关系图。例如,关系可能包括附加到与安全组 `sg-ef678hk` 关联的 Amazon EC2 实例 `i-a1b2c3d4` 的 Amazon EBS 卷。`vol-123ab45d`
有关更多信息,请参阅 [支持的资源类型 AWS Config](resource-config-reference.md)
## 配置记录器
**配置记录器以配置项的形式存储资源类型的配置更改。有关更多信息,请参阅 [使用配置记录器](stop-start-recorder.md)
有两种类型的配置记录器。
| **Type** | **描述** |
| --- | --- |
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会在运行 AWS 区域 位置 AWS Config 中记录所有支持的资源。 |
| 服务相关配置记录器 | 链接到特定的配置记录器 AWS 服务。范围内的资源类型由相关服务设置。 |
## 传输通道
由于 AWS Config 持续记录您的 AWS 资源发生的变化,它会通过*交付渠道*发送通知和更新的配置状态。您可以管理交付渠道以控制配置更新的 AWS Config 发送位置。
### 配置项
*配置项目*表示您账户中存在的受支持 AWS 资源的各种属性的 point-in-time视图。配置项目的组件包括元数据、属性、关系、当前配置和相关事件。 AWS Config 每当它检测到正在记录的资源类型发生变化时,都会创建一个配置项目。例如,如果 AWS Config 正在记录 Amazon S3 存储桶,则每当创建、更新或删除存储桶时,都会 AWS Config 创建一个配置项目。您也可以选择 AWS Config 以您设置的录制频率创建配置项目。
有关更多信息,请参阅[配置项的组成部分](config-item-table.md)和[记录频率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-recording-frequency.html)。
### 配置历史
*配置历史记录*是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息,例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录有多种格式可供您使用。 AWS Config 自动将正在记录的每种资源类型的配置历史记录文件传输到您指定的 Amazon S3 存储桶。您可以在 AWS Config 控制台中选择给定资源,然后使用时间轴导航到该资源的所有先前配置项目。此外,您还可以从 API 访问资源的历史配置项。
有关更多信息,请参阅[查看合规性历史记录](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)和[查询合规性历史记录](https://docs.aws.amazon.com/config/latest/developerguide/quering-resource-compliance-history.html)。
### 配置快照
*配置快照*是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如,您可以定期检查配置快照,以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service(Amazon S3)存储桶。此外,您还可以在 AWS Config 控制台中选择一个时间点,并使用资源之间的关系浏览配置项目的快照。
有关更多信息,请参阅[传送配置快照](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)、[查看配置快照](https://docs.aws.amazon.com/config/latest/developerguide/view-configuration-snapshot.html)和[示例配置快照](https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html)。
### 配置流
*配置流*是自动更新的列表,列出了 AWS Config 正在录制的资源的所有配置项目。每当资源被创建、修改或删除时, AWS Config 会创建一条配置项并将其添加到配置流。配置流使用您选择的 Amazon Simple Notification Service(Amazon SNS)主题工作。配置流有助于观察配置更改的发生,这样您就可以发现潜在的问题,在某些资源发生更改时生成通知,或者更新需要反映 AWS 资源配置的外部系统。
## AWS Config 规则
AWS Config 规则是一种合规性检查,可帮助您管理特定 AWS 资源的理想配置设置。 AWS Config 评估您的资源配置是否符合相关规则并显示合规性结果。
### 评估结果
AWS Config 一条规则有四种可能的评估结果。
| **评估结果** | **描述** |
| --- | --- |
| COMPLIANT | 规则通过了合规性检查的条件。 |
| NON\$1COMPLIANT | 此规则未通过合规性检查的条件。 |
| ERROR | 其中一个 required/optional 参数无效、类型不正确或格式不正确。 |
| NOT\$1APPLICABLE | 用于筛选出无法应用规则逻辑的资源。例如,该[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)规则仅检查应用程序负载均衡器,而忽略网络负载均衡器和网关负载均衡器。 |
### 规则类型
有两种类型的规则。有关规则定义和规则元数据结构的更多信息,请参阅[AWS Config 规则的组成部分](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html)。
| **Type** | **描述** | **更多信息** |
| --- | --- | --- |
| 托管规则 | 由创建的预定义、可自定义的规则 AWS Config。 | 有关托管规则的[列表,请参阅 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)列表。 |
| 自定义规则 | 您从头开始创建的规则。有两种创建 AWS Config 自定义规则的方法:Lambda 函数([AWS Lambda 开发者指南](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function))和 Guard([防护 GitHub](https://github.com/aws-cloudformation/cloudformation-guard)存储库) | 有关更多信息,请参阅[创建 AWS Config 自定义策略规则和创建 AWS Config 自定义](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html) [Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) 规则。 |
### 触发器类型
向账户添加规则后, AWS Config 将您的资源与规则的条件进行比较。在这次初始评估之后,每次触发评估时都会 AWS Config 继续运行评估。规则中会定义评估触发器,可以包括以下类型。
| **触发器类型** | **描述** |
| --- | --- |
| 配置更改 | AWS Config 当存在与规则范围匹配的资源并且资源的配置发生变化时,会对规则进行评估。评估将在 AWS Config 发送配置项目变更通知后运行。通过定义规则的*范围*来选择哪些资源启动评估。范围可以包括: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/config-concepts.html) AWS Config 当它检测到与规则范围相匹配的资源发生变化时,就会运行评估。您可以使用范围来定义哪些资源启动评估。 |
| 定期 | AWS Config 按您选择的频率对规则进行评估;例如,每 24 小时运行一次。 |
| 混合 | 有些规则既有配置更改也有定期触发器。对于这些规则,它 AWS Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。 |
### 评估模式
AWS Config 规则有两种评估模式。
| **评估模式** | **描述** |
| --- | --- |
| 主动 | 使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 AWS 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。 有关更多信息,请参阅[评估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)。有关支持主动评估的托管规则[列表,请参阅按评估模式列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。 |
| 侦查 | 使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。 |
**注意**
主动规则不会修复标记为 NON\$1COMPLIANT 的资源,也不会阻止部署这些资源。
## 合规包
一致性包是 AWS Config 规则和补救措施的集合,可以轻松地将其作为单个实体部署到一个账户和一个区域或整个组织中 AWS Organizations。
通过编写一个包含 AWS Config 规则(托管或自定义)和修复操作列表的 YAML 模板,可以创建合规包。您可以使用 AWS Config 控制台或 AWS CLI部署模板。
要快速入门并评估您的 AWS 环境,请使用其中一个[样本一致性包模板](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)。您也可以基于[自定义合规包](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html),从头开始创建合规包 YAML 文件。自定义一致性包是唯一的 AWS Config 规则和补救措施集合,您可以将它们一起部署到一个账户和一个 AWS 区域,或者跨组织部署。 AWS Organizations
**流程检查**是一种 AWS Config 规则,允许您跟踪需要作为一致性包一部分进行验证的外部和内部任务。可以将这些检查添加到现有合规包或新的合规包中。您可以在一个位置跟踪所有合规性,包括 AWS Config持续时间和手动检查。
## 多账户多区域数据聚合
中的多账户多区域数据聚合 AWS Config 允许您将来自多个账户和地区的 AWS Config 配置和合规性数据聚合到一个账户中。多账户多区域数据聚合对于中央 IT 管理员监控企业 AWS 账户 中多个账户的合规性非常有用。使用聚合器不会产生任何额外费用。
### 源账户
源账户是您要 AWS 账户 从中汇总 AWS Config 资源配置和合规性数据的账户。源账户可以是 AWS Organizations中的个人账户或组织。您可以单独提供源帐户,也可以通过它们进行检索 AWS Organizations。
### 源区域
来源区域是您要从中汇总 AWS Config 配置和合规性数据的 AWS 区域。
### 聚合器
聚合器从多个来源账户和区域收集 AWS Config 配置和合规性数据。在要查看聚合 AWS Config 配置和合规性数据的区域中创建聚合器。
**注意**
聚合器通过将数据从源账户复制到聚合器账户,提供源账户和聚合器有权查看的区域的*只读视图*。聚合器不提供对源账户或区域的可变访问权限。例如,这意味着您不能通过聚合器部署规则,也不能通过聚合器将快照文件推送到源账户或区域。
### 服务相关聚合器
服务相关聚合器与特定聚合器相关联。 AWS 服务范围内的配置和合规性数据由相关服务设置。
### 聚合器账户
聚合器账户 是您在其中创建聚合器的账户。
### Authorization
作为源账户所有者,授权是指您向聚合器账户和区域授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。
# AWS服务集成AWS Config
AWS Config支持与其他几项AWS服务的集成。此列表并不详尽。
## AWS Organizations
您可以使用定义AWS Organizations要用于的多账户、多区域数据聚合功能AWS Config的账户。AWS Organizations是一项账户管理服务,可帮助您将多个账户整合AWS 账户到一个由您创建和集中管理的组织中。通过提供您的AWS Organizations详细信息,您可以监控整个组织的合规状态。有关更多信息,请参阅 *AWS Organizations用户指南*中的 [AWS Config和AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)。
## AWS Control Tower
AWS Control TowerAWS Config在所有注册的帐户上启用,以便它可以通过侦探控制来监控合规性、记录资源更改并将资源更改日志传送到日志存档帐户。有关更多信息,请参阅《*AWS Control Tower用户指南*》中的[使用AWS Config监控资源更改](https://docs.aws.amazon.com/controltower/latest/userguide/monitoring-with-config.html)。
## AWS CloudTrail
AWS Config与集成AWS CloudTrail,将配置更改与您账户中的特定事件相关联。您可以使用 CloudTrail 日志来获取引发变更的事件的详细信息,包括谁发出了请求、何时以及来自哪个 IP 地址。您可以从 CloudTrail 控制台导航到AWS Config时间轴,查看与您的AWS API 活动相关的配置更改。
有关更多信息,请参阅*AWS Config开发人员指南AWS CloudTrail中的[使用记录AWS Config API 调用](https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html)和*AWS CloudTrail用户指南**中的[使用控制台为AWS Config配置项目创建事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-config.html)。
## AWS Security Hub CSPM
AWS Security Hub CSPM集中来自其他AWS服务的安全检查,包括AWS Config规则。Security Hub 会启用并控制AWS Config规则,以验证您的资源配置是否符合最佳实践。AWS Config在 Security Hub CSPM 要对环境资源进行安全检查的所有区域的所有账户上启用该选项。有关更多信息,请参阅《AWS Security Hub CSPM用户指南》**中的[将调查发现发送到 Security Hub 的AWS服务](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html#integrations-internal-send)。
**某些与 Security Hub CSPM 相关的规则是周期性的,不依赖于配置项目**
一些与 Security Hub CSPM 相关的规则是定期的。这些规则不依赖于配置项(CI),因此可在配置记录器未启用的情况下运行。
这意味着,如果您查看规则页面,其中不会列出 CI 或支持的资源。如果您选择资源 ID,将会看到以下错误:`The provided resource ID and resource type cannot be found`。这是预料之中的行为。
## AWS Trusted Advisor
AWS Config托管规则支持对所有类别Trusted Advisor进行一组检查。启用某些托管规则后,相应的Trusted Advisor检查将自动启用。要查看哪些Trusted Advisor检查由特定的AWS Config托管规则提供支持,请参阅*AWS 支持用户指南*中的[AWS Trusted Advisor检查参考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)。
有[AWS商业支持、[AWS企业入口和AWS企业](https://aws.amazon.com/premiumsupport/plans/enterprise-onramp/)[支持](https://aws.amazon.com/premiumsupport/plans/enterprise/)](https://aws.amazon.com/premiumsupport/plans/business/)计划的客户可以使用AWS Config强力支票。如果您启用AWS Config了其中AWS一个 Support 计划,则会自动看到由相应部署的AWS Config托管规则支持的推荐。
**不允许刷新请求,也无法排除资源**
这些检查的结果会根据变更触发的托管规则更新自动刷新。AWS Config不允许刷新请求。您目前无法从这些检查中排除资源。
有关更多信息,请参阅《*AWS 支持用户指南》AWS Config*中的 “[查看由其支持的Trusted Advisor支票](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)”。
## AWS Audit Manager
您可以使用 Audit Manager 捕获AWS Config评估作为审计证据。创建或编辑自定义控件时,可以将一个或多个AWS Config规则指定为证据收集的数据源映射。AWS Config根据这些规则执行合规性检查,然后 Audit Manager 将结果报告为合规性检查证据。有关更多信息,请参阅《AWS Audit Manager用户指南》**中的 [AWS Audit Manager支持的AWS Config规则](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html)。
## AWS Systems Manager
AWS Config与 Systems Manager 集成,可在本地环境中记录亚马逊 EC2 实例和服务器上软件的配置更改。通过这种集成,您可以了解操作系统 (OS) 配置、系统级更新、已安装的应用程序、网络配置等。AWS Config还提供了操作系统和系统级配置更改的历史记录以及为 Amazon EC2 实例记录的基础设施配置更改。您可以从 Systems Manager 控制台导航到AWS Config时间轴,查看托管亚马逊 EC2 实例的配置更改。您可以使用AWS Config查看 Systems Manager 库存历史记录并跟踪所有托管实例的更改。
有关更多信息,请参阅《*AWS Systems Manager用户指南*》中的 “[与AWS服务集成 \$1 管理和治理](https://docs.aws.amazon.com/systems-manager/latest/userguide/integrations-aws.html#integrations-aws-management-governance)”、“[AWS Config配置记录器](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)” 和 “[AWS Config一致性包部署](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)”。
## AWS Firewall Manager
要使用 Firewall Manager,必须AWS Config为每个AWS Organizations成员帐户启用防火墙管理器。创建新应用程序时,Firewall Manager 是构建防火墙规则、创建安全策略并一致实施这些规则的唯一服务。有关更多信息,请参阅*AWS WAFAWS Firewall Manager、和AWS Shield Advanced开发者指南AWS Config*中的[启用](https://docs.aws.amazon.com/waf/latest/developerguide/enable-config.html)。
**注意**
Firewall Manager 依赖连续记录来监控您的资源。如果您使用的是 Firewall Manager,建议您将记录频率设置为“持续”。有关连续录制和每日录制的更多信息,请参阅[录制频率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-recording-frequency)。
## Amazon EC2 专用主机
AWS Config与 Amazon EC2 专用主机集成以评估许可合规性。AWS Config记录实例何时在专用主机上启动、停止或关闭,并将此信息与与软件许可相关的主机和实例级别信息(例如主机 ID、Amazon 机器映像 (AMI) IDs、套接字数量和物理内核)配对。这可以帮助您AWS Config用作许可证报告的数据源。您可以从 Amazon EC2 专用主机控制台导航到AWS Config时间轴,查看您的亚马逊 EC2 专用主机的配置更改。
有关更多信息,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》**中的[跟踪配置更改](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-aws-config.html)或《适用于 Windows 实例的 Amazon Elastic Compute Cloud 用户指南》**中的[跟踪配置更改](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/dedicated-hosts-aws-config.html)。
## 应用程序负载均衡器
AWS Config与 Elastic Load Balancing (ELB) 服务集成,可记录应用程序负载均衡器的配置更改。AWS Config还包括与相关 Amazon EC2 安全组和子网的关系。 VPCs您可以使用这些信息进行安全分析和故障排除。例如,您可以随时查看哪些安全组与您的应用程序负载均衡器相关联。您可以从 ELB 控制台导航到AWS Config时间轴,查看应用程序负载均衡器的配置更改。
## AWS CodeBuild
AWS Config提供了您的AWS资源清单以及这些资源的配置更改历史记录。AWS Config支持AWS CodeBuild;作为一种AWS资源,这意味着该服务可以跟踪您的 CodeBuild 项目。有关更多信息,请参阅《*AWS CodeBuild用户指南》*中的 “[AWS Config与 CodeBuild 示例一起使用](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-integrate-config.html)”。
## AWS X-Ray
AWS X-Ray与集成AWS Config以记录对 X-Ray 加密资源所做的配置更改。您可以使用AWS Config清点 X-Ray 加密资源、审计 X-Ray 配置历史记录以及根据资源更改发送通知。有关更多信息,请参阅《AWS X-Ray开发人员指南》**中的[使用AWS Config跟踪 X-Ray 加密配置更改](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-config.html)。
## AWS 服务管理连接器
f AWS 服务管理连接器 or ServiceNow 可以使用聚合器同步来自多个账户和地区的AWS Config数据。有关更多信息,请参阅《*AWS 服务管理连接器管理员指南》AWS Config ServiceNow*[中的 “集成](https://docs.aws.amazon.com/smc/latest/ag/sn-configue-config.html)”。
## Amazon API Gateway
您可以使用AWS Config记录对 API Gateway API 资源所做的配置更改,并根据资源更改发送通知。维护 API Gateway 资源的配置更改历史记录对于运行问题排查、审计与合规性使用案例非常有用。有关更多信息,请参阅《API Gateway 开发人员指南》**中的[使用AWS Config监控 API Gateway API 配置](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-config.html)。
# Region Support AWS Config
## 注意事项
的某些功能 AWS Config 仅在支持的部分 AWS 区域中 AWS Config 受支持。
**资源管理**
+ 有关哪些区域支持哪些 AWS 资源类型的列表,请参阅[按区域可用性划分的资源覆盖率](https://docs.aws.amazon.com/config/latest/developerguide/what-is-resource-config-coverage.html)。
**AWS Config Rules**
+ 有关哪些区域支持哪些 AWS Config 规则的列表,请参阅[按区域可用性列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managing-rules-by-region-availability.html )列表。
+ 有关支持组织部署规则的区域列表,请参阅[组织 AWS Config 规则 \$1 Region Suppor](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html#region-support-org-config-rules) t。
**合规包**
+ 有关支持合规包和组织部署合规包的区域列表,请参阅[合规包 \$1 区域支持](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html#conformance-packs-regions)。
**修复**
+ 有关支持 AWS Config 规则修正操作的区域列表,请参阅[修正操作 \$1 Region Supp](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#region-support-config-remediation ) ort。
**聚合器**
+ 有关支持聚合器的区域列表,请参阅[聚合器 \$1 区域支持](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html#aggregation-regions )。
**高级查询**
+ 有关支持高级查询的区域列表,请参阅[高级查询 \$1 区域支持](https://docs.aws.amazon.com/config/latest/developerguide/querying-AWS-resources.html#query-regionsupport)。
+ 有关支持适用于高级查询的自然语言查询处理器的区域列表,请参阅[适用于高级查询的自然语言查询处理器 \$1 区域支持](https://docs.aws.amazon.com/config/latest/developerguide/query-assistant.html#query-assistant-region-support)。
## 受支持区域列表
下表列出了您可以启用的 AWS 区域 AWS Config。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/config-region-support.html)
# AWS Config 的服务限制
下表介绍了 AWS Config 内的限制。除非另有说明,否则可根据请求提高配额。您可以[请求提高配额](https://console.aws.amazon.com/servicequotas/home)。
有关 AWS 中的其他限制的信息,请参阅 [AWS 服务限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
**资源标签**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 每个资源的最大标签数 | 50 | 否 |
**AWS Config 规则**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 最大 AWS Config 规则数(每个区域、每个账户) | 1000 | 否 |
**单个账户合规包**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 每个账户的最大合规包数 | 50 | 不可以 |
| 每个合规包最多 AWS Config 条规则 | 130 | 否 |
**注意**
合规包中的 AWS Config 规则计入每账户每区域的最大数量 AWS Config 规则限制。
**组织合规包**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 每个组织的最大合规包数 | 50 | 不可以 |
| 每个组织合规包的最大 AWS Config 规则数 | 130 | 否 |
**注意**
在组织级别部署计入子账户限制。合规包中的 AWS Config 规则计入每账户每区域的最大数量 AWS Config 规则限制。
**聚合器**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 最大配置聚合器数 | 50 | 可以 |
| 聚合器中的最大账户数 | 10000 | 否 |
| 所有聚合器每周添加或删除的最大账户数量 | 1000 | 是 |
**注意**
组织级聚合器和个人账户聚合器都计入配置聚合器的最大数量限制。
**高级查询**
| 描述 | 限制值 | 能否增加 |
| --- | --- | --- |
| 单个账户和一个区域中保存的查询的最大数量 | 300 | 是 |
# AWS Config 的补充信息和相关资源
下列相关资源在您使用此服务的过程中会有所帮助。
+ **[AWS Config](https://aws.amazon.com/config/)** – 提供 AWS Config 相关信息的主要网页。
+ **[AWS Config 定价](https://aws.amazon.com/config/pricing)**
+ **[技术方面常见问题](https://aws.amazon.com/config/faq/)**
+ **[AWS Config 规则开发工具包(RDK)](https://rdk.readthedocs.io/en/latest/)**– 一种开源工具,可帮助您设置,AWS Config编写规则,然后使用各种 AWS 资源类型对其进行测试。
+ **[合作伙伴](https://aws.amazon.com/config/partners/)** – 链接到合作伙伴的产品,这些产品与 AWS Config 充分集成,可以帮助您直观呈现、监控并管理来自您的配置流、配置快照或配置历史记录的数据。
+ [课程和研讨会](https://aws.amazon.com/training/course-descriptions/) – 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强 AWS 技能并获得实践经验。
+ [AWS 开发人员中心](https://aws.amazon.com/developer/?ref=docs_id=res1) – 浏览教程、下载工具并了解 AWS 开发人员活动。
+ [AWS 开发人员工具](https://aws.amazon.com/developer/tools/?ref=docs_id=res1) – 指向开发人员工具、开发工具包、IDE 工具包和命令行工具的链接,这些资源用于开发和管理 AWS 应用程序。
+ [入门资源中心](https://aws.amazon.com/getting-started/?ref=docs_id=res1) – 了解如何设置、AWS 账户加入 AWS 社区和启动您的第一个应用程序。
+ [动手实践教程](https://aws.amazon.com/getting-started/hands-on/?ref=docs_id=res1) – 按照分步教程在 AWS 上启动您的第一个应用程序。
+ [AWS 白皮书](https://aws.amazon.com/whitepapers/) – 指向 AWS 技术白皮书的完整列表的链接,这些资料涵盖了架构、安全性、经济性等主题,由 AWS 解决方案架构师或其他技术专家编写。
+ [AWS 支持 中心](https://console.aws.amazon.com/support/home#/) – 用于创建和管理 AWS 支持 案例的中心。还提供指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况以及AWS Trusted Advisor。
+ [支持](https://aws.amazon.com/premiumsupport/) – 提供有关 支持 的信息的主要网页,这是一个一对一的快速响应支持渠道,可以帮助您在云中构建和运行应用程序。
+ [联系我们](https://aws.amazon.com/contact-us/) – 用于查询有关 AWS 账单、账户、事件、滥用和其他问题的中央联系点。
+ [AWS 网站条款](https://aws.amazon.com/terms/) – 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。
## AWS适用于 的 软件开发工具包AWS Config
AWS 软件开发工具包使用户可以更轻松地构建应用程序,以对经济高效、可扩展而又可靠的 AWS 基础设施服务进行访问。AWS 软件开发工具包是可下载的单个软件包,其中包含库、代码示例和参考文档,您可以在几分钟内开始使用。下表列出了可用的软件开发工具包和第三方库,以便您以编程方式访问。AWS Config
****
| 访问类型 | 描述 |
| --- | --- |
| AWS SDK | AWS 提供以下软件开发工具包: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/cloudconfig-resources.html) |
| 第三方库 | AWS 开发人员社区中的开发人员还会提供他们自己的库,您可以在以下 AWS 开发人员中心获取这些资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/cloudconfig-resources.html) |