什麼是 AWS Config? - AWS Config
考量事項使用方法 AWS Config功能

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Config?

AWS Config 提供帳戶中 AWS AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。

AWS 資源是您可以在 中使用 的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需 支援的完整 AWS 資源清單 AWS Config,請參閱 支援的資源類型

考量事項

  • AWS 帳戶:您需要作用中的 AWS 帳戶。如需詳細資訊,請參閱註冊 AWS

  • Amazon S3 儲存貯體 :您需要 S3 儲存貯體才能接收組態快照和歷史記錄的資料。如需詳細資訊,請參閱《Amazon S3 儲存貯體許可》。

  • Amazon SNS主題 :您需要 Amazon SNS才能在組態快照和歷史記錄變更時接收通知。如需詳細資訊,請參閱 Amazon SNS主題 的許可

  • IAM 角色 :您需要具有存取 必要許可IAM的角色 AWS Config。如需詳細資訊,請參閱IAM角色 的許可

  • 資源類型 :您可以決定 AWS Config 要記錄哪些資源類型。如需詳細資訊,請參閱錄製 AWS 資源。

使用方法 AWS Config

當您在 上執行應用程式時 AWS,通常會使用 資源,您必須共同建立和管理這些 AWS 資源。隨著對應用程式的需求不斷增加,您需要追蹤 AWS 資源。 AWS Config 旨在協助您在下列情況下監督應用程式資源:

資源管理

若要練習更恰當地管理資源組態,以及偵測不正確的資源組態,您需要微調資源的可見性,以及如何同時設定這些資源。您可以使用 AWS Config ,在建立、修改或刪除資源時通知您,而無需透過輪詢對每個資源進行的呼叫來監控這些變更。

您可以使用 AWS Config 規則來評估 資源的 AWS 組態設定。當 AWS Config 偵測到資源違反其中一個規則的條件時, 會將資源 AWS Config 標記為不合規,並傳送通知。 AWS Config 會在建立、變更或刪除資源時,持續評估您的資源。

稽核與合規性

您可能處理需要頻繁稽核的資料,確保符合內部政策和最佳實務。若要示範合規性,您需要存取資源的歷史組態。此資訊由 提供 AWS Config。

組態變更的管理和故障診斷

當您使用彼此依賴的多個 AWS 資源時,一個資源的組態變更可能會對相關資源造成意外後果。透過 AWS Config,您可以檢視您打算修改的資源與其他資源的關聯,並評估變更的影響。

您也可以使用 AWS Config 所提供資源的歷史組態對問題進行故障診斷,以及存取問題資源的上次已知正常組態。

安全分析

若要分析潛在的安全漏洞,您需要資源 AWS 組態的詳細歷史資訊,例如授予使用者的 AWS Identity and Access Management (IAM) 許可,或控制資源存取的 Amazon EC2安全群組規則。

您可以隨時使用 AWS Config 來檢視指派給使用者、群組或角色IAM的政策 AWS Config 。此資訊可協助您判斷在特定時間屬於使用者的許可:例如,您可以檢視使用者是否John Doe具有在 2015 年 1 月 1 日修改 Amazon VPC設定的許可。

您也可以使用 AWS Config 來檢視EC2安全群組的組態,包括在特定時間開啟的連接埠規則。此資訊可協助您判斷安全群組是否封鎖傳入特定連接埠的TCP流量。

合作夥伴解決方案

AWS 與第三方專家合作進行記錄和分析,以提供使用 AWS Config 輸出的解決方案。如需詳細資訊,請造訪 AWS Config 的詳細資訊頁面AWS Config

功能

當您設定 時 AWS Config,您可以完成下列操作:

資源管理

  • 指定 AWS Config 您要記錄的資源類型。

規則與一致性套件

修復

  • 修復由 評估的不合規資源 AWS Config 規則。

    如需詳細資訊,請參閱修復

彙總工具

  • 使用彙總工具來集中檢視您的資源庫存和合規性。彙總器會將多個 AWS 帳戶 和 AWS 區域的 AWS Config 組態和合規資料收集到單一 帳戶和 區域。

    如需詳細資訊,請參閱《多帳戶多區域資料彙總》。

進階查詢