本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
運作 AWS Config 方式
AWS Config 提供您 AWS 帳戶中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。
An AWS resource 是您可以在其中使用的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需 支援的完整 AWS 資源清單 AWS Config,請參閱 支援的 的資源類型 AWS Config。
資源探索
當您開啟 時 AWS Config,它會先探索 帳戶中存在的支援 AWS 資源,並為每個資源產生組態項目。
AWS Config 當資源的組態變更時, 也會產生組態項目,而且它會從您啟動組態記錄器時起維護資源組態項目的歷史記錄。根據預設, 會為區域中每個支援的資源 AWS Config 建立組態項目。如果您不想為所有支援的資源 AWS Config 建立組態項目,您可以指定要追蹤的資源類型。
在指定 AWS Config 要追蹤的資源類型之前,請檢查依區域可用性列出的資源涵蓋範圍,以查看您要設定 AWS 的區域是否支援資源類型 AWS Config。如果 AWS Config 至少一個區域中支援 資源類型,您可以在 支援的所有區域中啟用該資源類型的記錄 AWS Config,即使指定的資源類型不支援您要設定 AWS 的區域 AWS Config。
資源追蹤
AWS Config 會針對您帳戶中的每個資源叫用描述或列出 API 呼叫,以追蹤資源的所有變更。此服務使用這些相同的 API 呼叫來擷取所有相關資源的組態詳細資訊。
例如,從 VPC 安全群組移除輸出規則 AWS Config 會導致 叫用安全群組上的描述 API 呼叫。 AWS Config 然後, 會在與安全群組相關聯的所有執行個體上叫用描述 API 呼叫。安全群組 (資源) 和每個執行個體 (相關資源) 的已更新組態會記錄為組態項目,並以組態串流形式交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
AWS Config 也會追蹤 API 未啟動的組態變更。 會定期 AWS Config 檢查資源組態,並為已變更的組態產生組態項目。
如果您使用的是 AWS Config 規則, AWS Config 會持續評估 AWS 資源組態是否有所需的設定。根據規則, AWS Config 將評估您的 資源,以回應組態變更或定期評估。每個規則都與 AWS Lambda 函數建立關聯,而此函數包含規則的評估邏輯。當 AWS Config 評估您的 資源時,它會叫用規則的 AWS Lambda 函數。該函數會傳回所評估資源的合規性狀態。如果資源違反規則的條件, 會將資源和規則 AWS Config 標記為不合規。當資源的合規狀態變更時, 會 AWS Config 傳送通知到您的 Amazon SNS 主題。
組態項目的交付
AWS Config 可以透過下列其中一個管道交付組態項目:
Amazon S3 儲存貯體
AWS Config 會追蹤 AWS 資源組態中的變更,並定期將更新後的組態詳細資訊傳送至您指定的 Amazon S3 儲存貯體。對於 AWS Config 記錄的每個資源類型,它會每六小時傳送一個組態歷史記錄檔案。每個組態歷史記錄檔案都會包含該六小時期間所變更資源的詳細資訊。每個檔案都會包含一種類型的資源 (例如 Amazon EC2 執行個體或 Amazon EBS 磁碟區)。如果沒有發生組態變更, AWS Config 不會傳送檔案。
AWS Config 當您搭配 CLI 使用 deliver-config-snapshot 命令,或當您搭配 AWS Config API 使用 DeliverConfigSnapshot 動作時, 會傳送組態快照到您的 Amazon S3 AWS 儲存貯體。組態快照包含 中 AWS Config 記錄的所有資源的組態詳細資訊 AWS 帳戶。組態歷史記錄檔案和組態快照為 JSON 格式。
注意
AWS Config 只會將組態歷史記錄檔案和組態快照傳送到指定的 S3 儲存貯體; AWS Config 不會修改 S3 儲存貯體中物件的生命週期政策。您可以使用生命週期政策,指定要刪除物件,還是將其封存至 Amazon S3 Glacier。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的管理生命週期組態。您也可以查看《將 Amazon S3 資料封存至 S3 Glacier
Amazon SNS 主題
Amazon Simple Notification Service (Amazon SNS) 主題是一種通訊頻道,Amazon SNS 運用該頻道來將訊息 (或通知) 交付至訂閱端點,例如電子郵件地址或用戶端。其他類型的 Amazon SNS 通知包含行動電話上傳送至應用程式的推播通知訊息、傳送至啟用 SMS 功能之行動電話和智慧型手機的簡訊服務 (SMS) 通知,以及 HTTP POST 請求。為了獲得最佳結果,請使用 Amazon SQS 作為 SNS 主題的通知端點,然後以程式設計方式處理通知中的資訊。
AWS Config 使用您指定的 Amazon SNS 主題來傳送通知。您收到的通知類型會以訊息本文中 messageType 金鑰的值表示,如下列範例所示:
"messageType": "ConfigurationHistoryDeliveryCompleted"
通知可以是下列任何訊息類型。
| 訊息類型 | Description |
|---|---|
| ComplianceChangeNotification | AWS Config 評估資源的合規類型已變更。合規類型指出資源是否符合特定 AWS Config 規則,且由訊息中的 ComplianceType金鑰表示。訊息包含要比較的 newEvaluationResult 和 oldEvaluationResult 物件。 |
| ConfigRulesEvaluationStarted | AWS Config 已開始針對指定的資源評估您的規則。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config 已開始將組態快照交付至您的 Amazon S3 儲存貯體。已在訊息中為 s3Bucket 金鑰提供 Amazon S3 儲存貯體名稱。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config 已成功將組態快照交付至您的 Amazon S3 儲存貯體。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config 無法將組態快照交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config 已成功將組態歷史記錄交付至您的 Amazon S3 儲存貯體。 |
| ConfigurationItemChangeNotification | 已在組態中建立、刪除或變更資源。此訊息包含為此變更 AWS Config 建立之組態項目的詳細資訊,並包含變更類型。這些通知會在變更的數分鐘內交付,並且統稱為「組態串流」。 |
| OversizedConfigurationItemChangeNotification | 組態項目變更通知超過 Amazon SNS 允許的大小上限時,會交付此訊息類型。訊息包含組態項目的摘要。除了 SMS 訊息外,Amazon SNS 訊息最多可包含 256 KB 的文字資料,包括 XML、JSON 和未格式化的文字。您可以在指定的 Amazon S3 儲存貯體位置檢視完整通知。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config 無法將過大的組態項目變更通知交付至您的 Amazon S3 儲存貯體。 |
如需範例通知,請參閱 AWS Config 傳送至 Amazon SNS 主題的通知。如需 Amazon SNS 的詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南。
注意
為什麼我看不到最新的組態變更?
AWS Config 通常會在偵測到變更後立即記錄資源的組態變更,或依您指定的頻率記錄。不過,這需要盡最大努力,有時可能需要更長的時間。如果問題在一段時間後仍然存在,請聯絡 支援
控制對 的存取 AWS Config
AWS Identity and Access Management 是一種 Web 服務,可讓 Amazon Web Services (AWS) 客戶管理使用者和使用者許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照「IAM 使用者指南」的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台) 中的指示。
-
