本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何 AWS Config 工作
AWS Config 提供您 AWS 帳戶中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。
AWS 資源是您可以在其中使用的實體 AWS,例如 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Block Store (EBS) 磁碟區、安全群組或 Amazon Virtual Private Cloud (VPC)。如需支援的完整 AWS 資源清單 AWS Config,請參閱支援的資源類型。
資源探索
當您開啟時 AWS Config,它會首先探索您帳號中存在的支援 AWS 資源,並為每個資源產生一個組態項目。
AWS Config 當資源的組態變更時,也會產生組態項目,並在您啟動組態記錄程式時維護資源組態項目的歷史記錄。依預設, AWS Config 會為區域中每個受支援的資源建立組態項目。如果您不想 AWS Config 為所有支援的資源建立組態項目,您可以指定要追蹤的資源類型。
在指定 AWS Config 要追蹤的資源型態之前,請先勾選「依可用區域的資源涵蓋範圍」,以查看您要設定的「 AWS 區域」中是否支援資源型態 AWS Config。如果至少一個「區域」支援某個資源類型,則您可以 AWS Config 在所支援的所有「區域」中啟用該資源類型的記錄 AWS Config,即使指定的資源類型不支援您設定的「 AWS 區域」也一樣 AWS Config。
資源追蹤
AWS Config 透過為帳戶中的每個資源呼叫「描述」或「清單 API」呼叫來追蹤資源的所有變更。此服務使用這些相同的 API 呼叫來擷取所有相關資源的組態詳細資訊。
例如,從 VPC 安全性群組移除輸出規則會導致 AWS Config 在安全性群組上叫用「描述」API 呼叫。 AWS Config 然後在與安全群組相關聯的所有執行個體上叫用「描述 API」呼叫。安全群組 (資源) 和每個執行個體 (相關資源) 的已更新組態會記錄為組態項目,並以組態串流形式交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
AWS Config 也會追蹤 API 未啟動的組態變更。 AWS Config 定期檢查資源組態,並針對已變更的組態產生組態項目。
如果您使用的是 AWS Config 規則,請 AWS Config 持續評估您的 AWS 資源組態以取得所需的設定。根據規則, AWS Config 將評估您的資源,以回應組態變更或定期。每個規則都與 AWS Lambda 函數建立關聯,而此函數包含規則的評估邏輯。 AWS Config 評估資源時,它會叫用規則的 AWS Lambda 函數。該函數會傳回所評估資源的合規性狀態。如果資源違反規則的條件,則會將資源和規則 AWS Config 標記為不相容。當資源的合規狀態變更時, AWS Config 會傳送通知給您的 Amazon SNS 主題。
配置項目的交付
AWS Config 可透過下列其中一個管道遞送組態項目:
Amazon S3 儲存貯體
AWS Config 追蹤 AWS 資源組態中的變更,並定期將更新的組態詳細資訊傳送到您指定的 Amazon S3 儲存貯體。對於 AWS Config 記錄的每個資源類型,它會每六個小時傳送一次組態歷程記錄檔案。每個組態歷史記錄檔案都會包含該六小時期間所變更資源的詳細資訊。每個檔案都會包含一種類型的資源 (例如 Amazon EC2 執行個體或 Amazon EBS 磁碟區)。如果沒有發生任何組態變更,則 AWS Config 不會傳送檔案。
AWS Config 當您將交付配置快照命令與 AWS CLI 搭配使用時,或將快照動作與 API 搭配使用時,會將組態快DeliverConfig照傳送到您的 Amazon S3 儲存貯體。 AWS Config 組態快照包含 AWS Config 記錄在您的 AWS 帳戶. 組態歷史記錄檔案和組態快照為 JSON 格式。
注意
AWS Config 只會將組態歷程記錄檔案和組態快照交付到指定的 S3 儲存貯體; AWS Config 不會修改 S3 儲存貯體中物件的生命週期政策。您可以使用生命週期政策,指定要刪除物件,還是將其封存至 Amazon S3 Glacier。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的管理生命週期組態。您也可以查看《將 Amazon S3 資料封存至 S3 Glacier
Amazon SNS 主題
Amazon Simple Notification Service (Amazon SNS) 主題是一種通訊頻道,Amazon SNS 運用該頻道來將訊息 (或通知) 交付至訂閱端點,例如電子郵件地址或用戶端。其他類型的 Amazon SNS 通知包含行動電話上傳送至應用程式的推播通知訊息、傳送至啟用 SMS 功能之行動電話和智慧型手機的簡訊服務 (SMS) 通知,以及 HTTP POST 請求。為了獲得最佳結果,請使用 Amazon SQS 作為 SNS 主題的通知端點,然後以程式設計方式處理通知中的資訊。
AWS Config 使用您指定的 Amazon SNS 主題傳送通知給您。您收到的通知類型會以訊息本文中 messageType 金鑰的值表示,如下列範例所示:
"messageType": "ConfigurationHistoryDeliveryCompleted"
通知可以是下列任何一種訊息類型。
| 訊息類型 | Description |
|---|---|
| ComplianceChange通知 | AWS Config 評估之資源的符合性類型已變更。符合性類型會指出資源是否符合特定 AWS Config 規則,並以訊息中的ComplianceType索引鍵表示。訊息包含要比較的 newEvaluationResult 和 oldEvaluationResult 物件。 |
| ConfigRulesEvaluationStarted | AWS Config 開始針對指定的資源評估規則。 |
| ConfigurationSnapshotDeliveryStarted | AWS Config 開始將組態快照交付到您的 Amazon S3 儲存貯體。已在訊息中為 s3Bucket 金鑰提供 Amazon S3 儲存貯體名稱。 |
| ConfigurationSnapshotDeliveryCompleted | AWS Config 成功地將組態快照交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationSnapshotDeliveryFailed | AWS Config 無法將組態快照交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationHistoryDeliveryCompleted | AWS Config 成功將組態歷史記錄交付到您的 Amazon S3 儲存貯體。 |
| ConfigurationItemChangeNotification | 已在組態中建立、刪除或變更資源。此訊息包含針對此變更所 AWS Config 建立之組態項目的詳細資訊,其中包含變更的類型。這些通知會在變更的數分鐘內交付,並且統稱為「組態串流」。 |
| OversizedConfigurationItemChange通知 | 組態項目變更通知超過 Amazon SNS 允許的大小上限時,會交付此訊息類型。訊息包含組態項目的摘要。除了 SMS 訊息外,Amazon SNS 訊息最多可包含 256 KB 的文字資料,包括 XML、JSON 和未格式化的文字。您可以在指定的 Amazon S3 儲存貯體位置檢視完整通知。 |
| OversizedConfigurationItemChangeDeliveryFailed | AWS Config 無法將超大型組態項目變更通知傳送到您的 Amazon S3 儲存貯體。 |
如需範例通知,請參閱 通知 AWS Config 發送到 Amazon SNS 主題。如需 Amazon SNS 的詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南。
注意
為什麼我看不到最新的設定變更?
AWS Config 通常會在偵測到變更之後或您指定的頻率,立即記錄資源的組態變更。但是,這是在最大努力的基礎上,有時可能需要更長的時間。如果問題在一段時間後仍然存在,請聯絡AWS Support
控制存取 AWS Config
AWS Identity and Access Management 是一種網路服務,可讓 Amazon Web Services (AWS) 客戶管理使用者和使用者許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。
-
