本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Config 術語和概念
為了協助您瞭解 AWS Config,本主題將說明一些重要概念。
內容
AWS Config 介面
AWS Config 控制台
您可以使用 AWS Config 控制台管理服務。如需有關的更多資訊 AWS Management Console,請參閱AWS Management Console。
AWS Config CLI
這 AWS Command Line Interface 是一個統一的工具,您可以使用它 AWS Config 來從命令行進行交互。如需詳細資訊,請參閱 AWS Command Line Interface 使用者指南。如需 AWS Config CLI 命令的完整清單,請參閱可用的命令。
AWS Config API
除了控制台和 CLI 之外,您還可以使用 AWS Config RESTful API AWS Config 直接進行編程。如需詳細資訊,請參閱 AWS Config API 參考。
AWS Config 開發套件
作為使用 AWS Config API 的替代方法,您可以使用其中一個 AWS SDK。每種開發套件皆包含多種程式設計語言與平台的程式庫與範本程式碼。開發套件提供便捷方法來建立對 AWS Config的程式化存取。例如,您可以使用開發套件以密碼編譯方式來簽署請求、管理錯誤,以及自動重試請求。如需詳細資訊,請參閱 Amazon Web Services 適用工具
資源管理
瞭解的基本元件可協 AWS Config 助您追蹤資源清查與變更,並評估 AWS 資源的組態。
AWS 資源
AWS 資源是您使用 AWS Command Line Interface (CLI) AWS Management Console、 AWS SDK 或 AWS 合作夥伴工具建立和管理的實體。 AWS 資源範例包括 Amazon EC2 執行個體、安全群組、Amazon VPC 和 Amazon 彈性區塊存放區。 AWS Config 指使用其唯一識別碼的每個資源,例如資源 ID 或 Amazon 資源名稱 (ARN)。如需 AWS Config 支援的資源類型清單,請參閱支援的資源類型。
資源關係
AWS Config 探索帳戶中的 AWS 資源,然後建立 AWS 資源之間關係的對映。例如,關係可能包含的 Amazon EBS 磁碟區 vol-123ab45d
,其連接至與安全群組 sg-ef678hk
建立關聯的 Amazon EC2 執行個體 i-a1b2c3d4
。
如需詳細資訊,請參閱 支援的資源類型。
組態記錄器
組態記錄器會將支援的資源組態當做組態項目存放在您的帳戶中。您必須先建立後啟動組態記錄器,才能開始記錄。您隨時可以停止和重新啟動組態記錄器。如需詳細資訊,請參閱 管理組態記錄器。
依預設,組態記錄程式會記錄執行所在區域中 AWS Config 的所有支援資源。您可以建立自訂組態記錄器,只記錄您指定的資源類型。如需詳細資訊,請參閱 錄製 AWS 資源。
如果您使用 AWS Management Console 或 CLI 來開啟服務, AWS Config 會自動為您建立並啟動組態錄製程式。
交付通道
隨著 AWS Config 持續記錄 AWS 資源發生的變更,它會透過傳遞通道傳送通知和更新的組態狀態。您可以管理傳遞通道,以控制 AWS Config 傳送組態更新的位置。
組態項目
組態項目代表您帳號中存在之受支援 AWS 資源的各種屬性的 point-in-time 檢視。組態項目的元件包括中繼資料、屬性、關係、目前的組態及相關事件。 AWS Config 每當它偵測到它正在記錄的資源類型的變更時,就會建立組態項目。例如,如果 AWS Config 要記錄 Amazon S3 儲存貯體,則每當建 AWS Config 立、更新或刪除儲存貯體時,都會建立組態項目。您也可以選擇為 AWS Config 以您設定的錄製頻率建立組態項目。
如需詳細資訊,請參閱Components of a Configuration Item和錄製頻率。
組態歷史記錄
組態歷史記錄是指定資源在任何時間期間的組態項目集合。組態歷史記錄可協助您回答下列這類問題,例如,第一次建立資源時、上個月如何設定資源,以及昨天 9 AM 進行何種組態變更。您可以使用多種格式的組態歷程記錄。 AWS Config 針對要記錄到您指定的 Amazon S3 儲存貯體的每個資源類型,自動交付組態歷史記錄檔案。您可以在 AWS Config 主控台中選取指定的資源,並使用時間軸瀏覽至該資源的所有先前設定項目。此外,您也可以從 API 存取資源的歷史組態項目。
組態快照
組態快照是帳戶中現有所支援資源的組態項目集合。此組態快照是所記錄資源和其組態的完整全貌。組態快照可以是驗證組態的實用工具。例如,建議您定期檢查未正確設定或可能不存在之資源的組態快照。組態快照具有多種格式。您可以將組態快照交付至您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此外,您可以在 AWS Config 主控台中選取時間點,並使用資源之間的關係瀏覽組態項目的快照集。
如需詳細資訊,請參閱傳遞組態快照、檢視組態快照集和範例組態快照集。
組態串流
配置流是一個自動更新的列表,其中包含 AWS Config 正在記錄的資源的所有配置項目。每次建立、修改或刪除資源時, AWS Config 都會建立組態項目,並新增至組態串流。使用您選擇的 Amazon Simple Notification Service (Amazon SNS) 主題後,組態串流即可運作。配置流有助於觀察發生的配置更改,以便您發現潛在問題,在某些資源發生變更時產生通知,或更新需要反映 AWS 資源配置的外部系統。
AWS Config 規則
AWS Config 規則代表特定 AWS 資源或整個資源所需的組態設定 AWS 帳戶。如果資源未通過規則檢查,請將資源和規則 AWS Config 標記為不合規,然後透過 Amazon SNS 通 AWS Config 知您。以下是 AWS Config 規則可能的評估結果:
-
COMPLIANT
- 規則通過合規檢查的條件。 -
NON_COMPLIANT
- 規則未通過合規檢查的條件。 -
ERROR
- 其中一個必要/選用參數無效、類型不正確,或格式不正確。 -
NOT_APPLICABLE
- 用於篩選出無法套用規則邏輯的資源。例如,該alb-desync-mode-check規則僅檢查應用程式負載平衡器,而忽略網路負載平衡器和閘道負載平衡器。
規則有兩種類型: AWS Config 受管規則和 AWS Config 自訂規則。如需有關規則定義和規則中繼資料結構的詳細資訊,請參閱AWS Config 規則的元件。
AWS Config 受管規則
AWS Config 受管規則是由建立的預先定義、可自訂的規則 AWS Config。如需受管規則的清單,請參閱AWS Config 受管規則清單。
AWS Config 自訂規則
AWS Config 自訂規則是您從頭開始建立的規則。建立 AWS Config 自訂規則的方法有兩種:使用 Lambda 函數 (AWS Lambda 開發人員指南),以及使用 Guard (安全防護 GitHub儲存庫
如需瞭解如何建立 AWS Config 自訂原則規則的逐步解說,請參閱建立 AWS Config 自訂原則規則。如需瞭解如何建立 AWS Config 自訂 Lambda 規則的逐步解說,請參閱建立 AWS Config 自訂 Lambda 規則。
觸發類型
將規則新增至帳戶後,請 AWS Config 將資源與規則條件進行比較。在此初始評估之後,每次觸發評估時都會 AWS Config 繼續執行評估。評估觸發程序被定義為規則的一部分,它們可以包括下列類型。
觸發類型 | Description |
---|---|
組態變更 | AWS Config 當有符合規則範圍的資源,且資源的組態發生變更時,會執行規則的評估。評估會在 AWS Config 傳送組態項目變更通知後執行。 您可以透過定義規則的範圍來選擇要進行評估的資源。範圍可包含下列項目:
AWS Config 當偵測到符合規則範圍的資源變更時,會執行評估。您可以使用範圍來定義要進行評估的資源。 |
定期 | AWS Config 以您選擇的頻率執行規則的評估,例如,每 24 小時執行一次。 |
混合 | 部分規則同時具有組態變更和定期觸發條件。對於這些規則,請在偵測到組態變更時以及您指定的頻率 AWS Config 評估您的資源。 |
評估模式
AWS Config 規則有兩種評估模式。
評估模式 | Description |
---|---|
主動 | 使用主動評估,在部署資源之前對其進行評估。這可讓您評估一組資源屬性 (如果用來定義資源) 是否為「相容」還是「非符合」(NON_COMPLUTION),考慮到您在「區域」中的帳戶中擁有的一組主動規則。 AWS 如需詳細資訊,請參閱《評估模式》。如需支援主動評估的受管規則清單,請參閱按評估模式分類的 AWS Config 受管規則清單。 |
偵測 | 使用偵測評估來評估已部署的資源。這可讓您評估現有資源的組態設定。 |
注意
主動規則不會修復標記為「NON_COMPLIANT」的資源,也不會防止部署這些資源。
一致性套件
符合性套件是 AWS Config 規則與修正動作的集合,可輕鬆部署為帳戶和區域中的單一實體,或在中的組織中部署。 AWS Organizations
您可以透過編寫包含 AWS Config 受管或自訂規則和修補動作之清單的 YAML 範本,來建立一致性套件。您可以使用 AWS Config 主控台或 AWS CLI來部署範本。
若要快速開始使用並評估您的 AWS 環境,請使用其中一個範例一致性套件範本。您也可以根據《自訂一致性套件》,從頭開始建立一致性套件 YAML 檔案。自訂一致性套件是 AWS Config 規則和修正動作的唯一集合,您可以在帳戶和 AWS 區域中一起部署,或在中的組織中部署。 AWS Organizations
流程檢查是一種 AWS Config 規則類型,可讓您追蹤需要驗證作為一致性套件一部分的外部和內部任務。您可以將這些檢查新增至現有或新的一致性套件。您可以在單一位置追蹤所有合規性,包括 AWS Config排尿和手動檢查。
多帳戶多區域資料彙整
中的多帳戶多區域資料彙總 AWS Config 可讓您將來自多個帳戶和區域的 AWS Config 組態和合規性資料彙總到單一帳戶中。多帳戶多區域資料彙總對於中央 IT 管理員來說非常有用,以監控企業 AWS 帳戶 中的多個合規性。使用彙總工具不會產生任何額外費用。
來源帳戶
來源帳號是您要彙總 AWS Config 資源組態和符合性資料的來源帳號。 AWS 帳戶 來源帳戶可以是 AWS Organizations中的個別帳戶或組織。您可以個別提供來源帳戶,也可以透過擷取來源帳戶 AWS Organizations。
來源區域
來源區域是您要彙總 AWS Config 組態與合規性資料的 AWS 地區。
彙整工具
彙總器會從多個來源帳戶和區域收集 AWS Config 組態和符合性資料。在您要查看彙總 AWS Config 組態和合規性資料的區域中建立彙總工具。
注意
彙總器透過將來源帳戶中的資料複寫到彙總器帳戶中,提供彙總器授權可檢視的來源帳戶和區域的唯讀檢視。彙總器不提供對來源帳戶或區域的變更存取權。例如,這表示您無法透過彙總器或推播快照檔案透過彙總器將規則部署到來源帳戶或區域。
彙整工具帳戶
彙整工具帳戶是您建立彙整工具的帳戶。
授權
身為來源帳戶擁有者,授權是指您授與彙總帳戶和區域的權限,以收集您的 AWS Config 組態和合規性資料。如果您要彙整屬於 AWS Organizations一部分的來源帳戶,則不需要授權。