本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Config 术语和概念
为了帮助您理解 AWS Config,本主题解释了一些关键概念。
**Contents**
+ [AWS Config 接口](#config-concepts-manage)
+ [AWS Config 控制台](#config-concepts-console)
+ [AWS Config CLI](#config-concepts-cli)
+ [AWS Config APIs](#config-concepts-api)
+ [AWS Config SDKs](#config-concepts-sdk)
+ [资源管理](#config-platform-concept)
+ [AWS Resources](#aws-resources)
+ [资源关系](#resource-relationship)
+ [配置记录器](#config-recorder)
+ [传输通道](#delivery-channel)
+ [配置项](#config-items)
+ [配置历史](#config-history)
+ [配置快照](#config-snapshot)
+ [配置流](#config-stream)
+ [AWS Config 规则](#aws-config-rules)
+ [评估结果](#aws-config-managed-rules-evaluation-results)
+ [规则类型](#aws-config-managed-rules-type)
+ [触发器类型](#aws-config-rules-trigger)
+ [评估模式](#aws-config-rules-proactive-detective)
+ [合规包](#aws-config-conformance-packs)
+ [多账户多区域数据聚合](#multi-account-multi-region-data-aggregation)
+ [源账户](#source-accounts)
+ [源区域](#source-region)
+ [聚合器](#aggregator)
+ [服务相关聚合器](#aggregator-service-linked)
+ [聚合器账户](#aggregator-accounts)
+ [Authorization](#authorization)
## AWS Config 接口
### AWS Config 控制台
您可以使用 AWS Config 控制台管理服务。有关更多信息 AWS 管理控制台,请参阅[AWS 管理控制台](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html)。
### AWS Config CLI
AWS Command Line Interface 是一个统一的工具,可用于 AWS Config 从命令行与之交互。有关更多信息,请参阅 [AWS Command Line Interface 《用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。有关 C AWS Config LI 命令的完整列表,请参阅[可用命令](https://docs.aws.amazon.com/cli/latest/reference/configservice/index.html)。
### AWS Config APIs
除了控制台和 CLI 之外,您还可以 AWS Config 直接使用 AWS Config RESTful APIs 进行编程。有关更多信息,请参阅 [AWS Config API 参考](https://docs.aws.amazon.com/config/latest/APIReference/)。
### AWS Config SDKs
除了使用 AWS Config API 之外,您还可以使用其中一个 AWS SDKs。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。 SDKs 提供了一种创建编程访问权限的便捷方式 AWS Config。例如,您可以使用对请求 SDKs 进行加密签名、管理错误和自动重试请求。有关更多信息,请参阅[用于 Amazon Web Services 的工具](https://aws.amazon.com/tools/)页面。
## 资源管理
了解的基本组成部分 AWS Config 将有助于您跟踪资源清单和更改,并评估 AWS 资源的配置。
### AWS Resources
*AWS 资源*是您使用、 AWS Command Line Interface (CLI) AWS 管理控制台 AWS SDKs、或 AWS 合作伙伴工具创建和管理的实体。 AWS 资源示例包括亚马逊 EC2 实例、安全组 VPCs、亚马逊和亚马逊弹性区块存储。 AWS Config 使用其唯一标识符来指代每种资源,例如资源 ID 或 A [mazon 资源名称 (ARN](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#ARN))。有关 AWS Config 支持的资源类型的列表,请参阅[支持的资源类型 AWS Config](resource-config-reference.md)。
### 资源关系
AWS Config 发现您账户中的 AWS 资源,然后创建 AWS 资源之间的关系图。例如,关系可能包括附加到与安全组 `sg-ef678hk` 关联的 Amazon EC2 实例 `i-a1b2c3d4` 的 Amazon EBS 卷。`vol-123ab45d`
有关更多信息,请参阅 [支持的资源类型 AWS Config](resource-config-reference.md)
## 配置记录器
**配置记录器以配置项的形式存储资源类型的配置更改。有关更多信息,请参阅 [使用配置记录器](stop-start-recorder.md)
有两种类型的配置记录器。
| **Type** | **描述** |
| --- | --- |
| 客户管理的配置记录器 | 您管理的配置记录器。范围内的资源类型由您设置。默认情况下,客户管理的配置记录器会在运行 AWS 区域 位置 AWS Config 中记录所有支持的资源。 |
| 服务相关配置记录器 | 链接到特定的配置记录器 AWS 服务。范围内的资源类型由相关服务设置。 |
## 传输通道
由于 AWS Config 持续记录您的 AWS 资源发生的变化,它会通过*交付渠道*发送通知和更新的配置状态。您可以管理交付渠道以控制配置更新的 AWS Config 发送位置。
### 配置项
*配置项目*表示您账户中存在的受支持 AWS 资源的各种属性的 point-in-time视图。配置项目的组件包括元数据、属性、关系、当前配置和相关事件。 AWS Config 每当它检测到正在记录的资源类型发生变化时,都会创建一个配置项目。例如,如果 AWS Config 正在记录 Amazon S3 存储桶,则每当创建、更新或删除存储桶时,都会 AWS Config 创建一个配置项目。您也可以选择 AWS Config 以您设置的录制频率创建配置项目。
有关更多信息,请参阅[配置项的组成部分](config-item-table.md)和[记录频率](https://docs.aws.amazon.com/config/latest/developerguide/select-resources-recording-frequency.html)。
### 配置历史
*配置历史记录*是指定资源在某个时间段的配置项集合。配置历史记录包含多种信息,例如资源首次创建的时间、过去一个月的资源配置情况以及昨天上午 9 点发生了哪些配置更改等。配置历史记录有多种格式可供您使用。 AWS Config 自动将正在记录的每种资源类型的配置历史记录文件传输到您指定的 Amazon S3 存储桶。您可以在 AWS Config 控制台中选择给定资源,然后使用时间轴导航到该资源的所有先前配置项目。此外,您还可以从 API 访问资源的历史配置项。
有关更多信息,请参阅[查看合规性历史记录](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)和[查询合规性历史记录](https://docs.aws.amazon.com/config/latest/developerguide/quering-resource-compliance-history.html)。
### 配置快照
*配置快照*是您账户中受支持资源的配置项的集合。配置快照可以完整展示被记录的资源及其配置的相关信息。配置快照是验证您的配置的有效工具。例如,您可以定期检查配置快照,以便找出配置错误的资源或可能不应存在的资源。配置快照具有多种格式。您可以将配置快照传输到您指定的 Amazon Simple Storage Service(Amazon S3)存储桶。此外,您还可以在 AWS Config 控制台中选择一个时间点,并使用资源之间的关系浏览配置项目的快照。
有关更多信息,请参阅[传送配置快照](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)、[查看配置快照](https://docs.aws.amazon.com/config/latest/developerguide/view-configuration-snapshot.html)和[示例配置快照](https://docs.aws.amazon.com/config/latest/developerguide/example-s3-snapshot.html)。
### 配置流
*配置流*是自动更新的列表,列出了 AWS Config 正在录制的资源的所有配置项目。每当资源被创建、修改或删除时, AWS Config 会创建一条配置项并将其添加到配置流。配置流使用您选择的 Amazon Simple Notification Service(Amazon SNS)主题工作。配置流有助于观察配置更改的发生,这样您就可以发现潜在的问题,在某些资源发生更改时生成通知,或者更新需要反映 AWS 资源配置的外部系统。
## AWS Config 规则
AWS Config 规则是一种合规性检查,可帮助您管理特定 AWS 资源的理想配置设置。 AWS Config 评估您的资源配置是否符合相关规则并显示合规性结果。
### 评估结果
AWS Config 一条规则有四种可能的评估结果。
| **评估结果** | **描述** |
| --- | --- |
| COMPLIANT | 规则通过了合规性检查的条件。 |
| NON\$1COMPLIANT | 此规则未通过合规性检查的条件。 |
| ERROR | 其中一个 required/optional 参数无效、类型不正确或格式不正确。 |
| NOT\$1APPLICABLE | 用于筛选出无法应用规则逻辑的资源。例如,该[alb-desync-mode-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)规则仅检查应用程序负载均衡器,而忽略网络负载均衡器和网关负载均衡器。 |
### 规则类型
有两种类型的规则。有关规则定义和规则元数据结构的更多信息,请参阅[AWS Config 规则的组成部分](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html)。
| **Type** | **描述** | **更多信息** |
| --- | --- | --- |
| 托管规则 | 由创建的预定义、可自定义的规则 AWS Config。 | 有关托管规则的[列表,请参阅 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)列表。 |
| 自定义规则 | 您从头开始创建的规则。有两种创建 AWS Config 自定义规则的方法:Lambda 函数([AWS Lambda 开发者指南](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-function))和 Guard([防护 GitHub](https://github.com/aws-cloudformation/cloudformation-guard)存储库) | 有关更多信息,请参阅[创建 AWS Config 自定义策略规则和创建 AWS Config 自定义](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_cfn-guard.html) [Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) 规则。 |
### 触发器类型
向账户添加规则后, AWS Config 将您的资源与规则的条件进行比较。在这次初始评估之后,每次触发评估时都会 AWS Config 继续运行评估。规则中会定义评估触发器,可以包括以下类型。
| **触发器类型** | **描述** |
| --- | --- |
| 配置更改 | AWS Config 当存在与规则范围匹配的资源并且资源的配置发生变化时,会对规则进行评估。评估将在 AWS Config 发送配置项目变更通知后运行。通过定义规则的*范围*来选择哪些资源启动评估。范围可以包括: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/config-concepts.html) AWS Config 当它检测到与规则范围相匹配的资源发生变化时,就会运行评估。您可以使用范围来定义哪些资源启动评估。 |
| 定期 | AWS Config 按您选择的频率对规则进行评估;例如,每 24 小时运行一次。 |
| 混合 | 有些规则既有配置更改也有定期触发器。对于这些规则,它 AWS Config 会在检测到配置更改时以及按照您指定的频率评估您的资源。 |
### 评估模式
AWS Config 规则有两种评估模式。
| **评估模式** | **描述** |
| --- | --- |
| 主动 | 使用主动评估在资源部署之前对其进行评估。这使您可以评估一组资源属性(如果用于定义 AWS 资源)是合规还是不合规,因为您所在地区的账户中有一组主动规则。 有关更多信息,请参阅[评估模式](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_components.html#evaluate-config_use-managed-rules-proactive-detective)。有关支持主动评估的托管规则[列表,请参阅按评估模式列出的 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-evaluation-mode.html)列表。 |
| 侦查 | 使用侦查评估来评估已部署的资源。这允许您评估现有资源的配置设置。 |
**注意**
主动规则不会修复标记为 NON\$1COMPLIANT 的资源,也不会阻止部署这些资源。
## 合规包
一致性包是 AWS Config 规则和补救措施的集合,可以轻松地将其作为单个实体部署到一个账户和一个区域或整个组织中 AWS Organizations。
通过编写一个包含 AWS Config 规则(托管或自定义)和修复操作列表的 YAML 模板,可以创建合规包。您可以使用 AWS Config 控制台或 AWS CLI部署模板。
要快速入门并评估您的 AWS 环境,请使用其中一个[样本一致性包模板](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)。您也可以基于[自定义合规包](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html),从头开始创建合规包 YAML 文件。自定义一致性包是唯一的 AWS Config 规则和补救措施集合,您可以将它们一起部署到一个账户和一个 AWS 区域,或者跨组织部署。 AWS Organizations
**流程检查**是一种 AWS Config 规则,允许您跟踪需要作为一致性包一部分进行验证的外部和内部任务。可以将这些检查添加到现有合规包或新的合规包中。您可以在一个位置跟踪所有合规性,包括 AWS Config持续时间和手动检查。
## 多账户多区域数据聚合
中的多账户多区域数据聚合 AWS Config 允许您将来自多个账户和地区的 AWS Config 配置和合规性数据聚合到一个账户中。多账户多区域数据聚合对于中央 IT 管理员监控企业 AWS 账户 中多个账户的合规性非常有用。使用聚合器不会产生任何额外费用。
### 源账户
源账户是您要 AWS 账户 从中汇总 AWS Config 资源配置和合规性数据的账户。源账户可以是 AWS Organizations中的个人账户或组织。您可以单独提供源帐户,也可以通过它们进行检索 AWS Organizations。
### 源区域
来源区域是您要从中汇总 AWS Config 配置和合规性数据的 AWS 区域。
### 聚合器
聚合器从多个来源账户和区域收集 AWS Config 配置和合规性数据。在要查看聚合 AWS Config 配置和合规性数据的区域中创建聚合器。
**注意**
聚合器通过将数据从源账户复制到聚合器账户,提供源账户和聚合器有权查看的区域的*只读视图*。聚合器不提供对源账户或区域的可变访问权限。例如,这意味着您不能通过聚合器部署规则,也不能通过聚合器将快照文件推送到源账户或区域。
### 服务相关聚合器
服务相关聚合器与特定聚合器相关联。 AWS 服务范围内的配置和合规性数据由相关服务设置。
### 聚合器账户
聚合器账户 是您在其中创建聚合器的账户。
### Authorization
作为源账户所有者,授权是指您向聚合器账户和区域授予的收集 AWS Config 配置和合规性数据的权限。如果要聚合的源账户是 AWS Organizations的一部分,则不需要授权。