问:什么是 Amazon Config?
Amazon Config 是一项完全托管的服务,可为您提供 亚马逊云科技 资源库存、配置历史记录和配置更改通知,以增强安全性和方便管理。使用 Amazon Config 让您能够找到现有的 亚马逊云科技 资源,导出您的 亚马逊云科技 资源完整库存清单与所有配置的详细信息,并确定资源是如何在任何时间点上配置的。这些功能提供了合规性审计、安全分析、资源更改跟踪和故障排除。
问:Amazon Config 有哪些优势?
Amazon Config 可用于轻松地跟踪您的资源配置,而无需前期投资,并且避开了安装和更新数据收集代理或维护大型数据库的复杂性。一旦您启用了 Amazon Config,您便可以查看与 亚马逊云科技 资源相关的所有配置属性的持续更新详细信息。您可以通过 Amazon Simple Notification Service (SNS) 获得每个配置更改的通知。
问:Amazon Config 如何帮助进行审计?
Amazon Config 为您提供资源配置历史记录的访问权限。您可以将配置更改与可能对配置的更改做出了贡献的 Amazon CloudTrail 事件关联起来。您可以通过此信息全面查看从“谁进行的更改?”、“来自哪个 IP 地址?”等详细信息乃至此更改对 亚马逊云科技 资源和相关资源的影响。您可以用此信息生成报告,从而在一定的的时间内帮助审计和评估合规性。
问:哪些人应该使用 Amazon Config?
Amazon Config 为您提供资源配置历史记录的访问权限。您可以将配置更改与可能对配置的更改做出了贡献的 Amazon CloudTrail 事件关联起来。您可以通过此信息全面查看从“谁进行的更改?”、“来自哪个 IP 地址?”等详细信息乃至此更改对 亚马逊云科技 资源和相关资源的影响。您可以用此信息生成报告,从而在一定的的时间内帮助审计和评估合规性。
问:Amazon Config 如何与 Amazon CloudTrail 配合使用?
Amazon CloudTrail 可记录您的账户上的用户 API 活动,并允许您访问有关此活动的信息。您将获得有关 API 操作的完整详细信息,如发起人的身份、该 API 调用的时间、请求参数和 亚马逊云科技 服务返回的响应元素。Amazon Config 将您的 亚马逊云科技 资源的时间点配置详细信息以配置项 (CI) 记录。您可以在某个时间点上使用一个 CI 来回答“我的 亚马逊云科技 资源是什么样子?”您可以使用 Amazon CloudTrail 回答“谁调用 API 修改了此资源?” 例如,您可以对 Amazon Config 使用 Amazon 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 Amazon CloudTrail 信息,您可以发现是哪个用户错误配置了“生产数据库”安全组。
问:Amazon Config 如何与 Amazon CloudTrail 配合使用?
Amazon CloudTrail 可记录您的账户上的用户 API 活动,并允许您访问有关此活动的信息。您将获得有关 API 操作的完整详细信息,如发起人的身份、该 API 调用的时间、请求参数和 Amazon Web Services 服务返回的响应元素。 Amazon Config 将您的 Amazon Web Services 资源的时间点配置详细信息以配置项(CI)记录。可以在某个时间点上使用一个 CI 来回答“我的 Amazon Web Services 资源是什么样子?”可以使用 Amazon CloudTrail 回答“谁调用 API 修改了此资源?” 例如,可以对 Amazon Config 使用 Amazon 管理控制台以检测安全组“生产数据库”过去的配置是否不正确。使用集成的 Amazon CloudTrail 信息,您可以发现是哪个用户错误配置了“生产数据库”安全组。
问:我要区域启用还是全球启用 Amazon Config?
您可以以区域为基础为您的账户启用 Amazon Config。
问:Amazon Config 能否聚合不同 亚马逊云科技 账户中的数据?
能,一旦适当的 IAM 策略应用到 S3 存储桶,您就可以将 Amazon Config 设置为将配置更新从不同的账户发送到一个 S3 存储桶中。一旦适当的 IAM 策略应用到 SNS 主题,您还可以向同一区域内的一个 SNS 主题发布通知。
问:Amazon CloudTrail 是否会记录 Amazon Config 本身的 API 活动?
会。包括 Amazon Config API 的使用到读取配置数据在内的所有 Amazon Config API 活动都会被 Amazon CloudTrail 记录下来。
问:资源的时间线视图中显示的是什么时间和时区? 夏令时间是什么?
Amazon Config 显示在时间线上记录资源配置项 (CI) 的时间。所有时间均以国际协调时间 (UTC) 为准。在管理控制台上直观显示时间线时,服务使用当前时区(若适用,已针对夏令时间调整)在时间线视图中显示其他所有记录的时间。
问:什么是配置项?
配置项 (CI) 是在给定的时间点资源的配置。CI 由 5 个部分组成:
问:Amazon Config 关系是什么,如何使用它们?
当记录更改时,Amazon Config 会将资源之间的关系考虑进去。例如,如果新的 Amazon EC2 安全组与 Amazon EC2 实例相关联,Amazon Config 会在主要资源(Amazon EC2 安全组)和相关资源(如 Amazon EC2 实例)发生实际更改时,记录它们更新后的配置。
问:Amazon Config 是否会记录资源曾经历的每个状态?
Amazon Config 会检测资源配置的更改并记录由相应更改所导致的配置状态。如果连续几次对某个资源进行配置更改(例如,在几分钟内),则 Config 将只记录代表这一组更改的累积影响的最新资源配置。在这些情况下,Config 将在配置项的 relatedEvents 字段中列出最新更改。这允许用户和程序继续更改基础设施配置,而无需等待 Config 记录中间过渡状态。
问:Amazon Config 会记录不是由该资源的 API 活动引起的配置更改吗?
会,Amazon Config 将定期扫描资源配置,以查看是否存在尚未记录的更改并记录这些更改。通过这些扫描所记录的 CI 在负载中不会有 relatedEvent 字段,并且将仅挑选尚未记录的最新状态进行记录。
问:什么是资源的配置?
资源的配置由 Amazon Config 的配置项(CI)中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息以及任何其他相关信息(例如其他附加资源、工作时间等)一起用于评估资源配置的合规性。
问:什么是规则?
规则表示用于资源的期望配置项(CI)属性值,并通过将这些属性值与 Amazon Config 所记录的 CI 比较进行评估。规则有两种类型:
Amazon Web Services 托管规则:Amazon Web Services 托管规则由 Amazon Web Services 预建和管理。您只需选择希望启用的规则,然后提供一些配置参数即可开始使用。
客户托管规则:客户托管规则为自定义规则,由您定义和生成。您可以在 Amazon Lambda 中创建能够作为自定义规则的一部分来调用的函数,这些函数将在您的账户中执行。
开始使用 Amazon Config 最快捷的方式就是使用 Amazon 管理控制台。单击几次即可启用 Amazon Config。有关其他详细信息,请参阅文档。
问:如何创建规则?
规则通常由 Amazon Web Services 账户管理员设置。可以利用 Amazon Web Services 托管规则(由 Amazon Web Services 提供的一组预定义规则)或通过客户托管规则进行创建。借助 Amazon Web Services 托管规则,对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中,客户具有该规则的完整副本,并在其自己的账户中执行该规则。这些规则由客户维护。
问:我可以创建多少个规则?
默认情况下,您最多可以在 Amazon Web Services 账户中创建 50 条规则。此外,您可以访问 Amazon Web Services 服务限制页面,申请提高您的账户中的规则数量上限。
问:如何评估规则?
任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 Amazon Config 为任何指定资源记录配置更改后执行。此外,还必须指定以下项之一:
定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项(CI)的完整快照。
问:什么是评估?
规则的评估可确定某个规则是否在特定时间点与某个资源相符合。这是针对资源配置评估规则的结果。Config Rules 将捕获并存储每个评估的结果。此结果将包含资源、规则、评估时间和导致非合规的配置项(CI)链接。
问:合规是什么意思?
如果资源符合对其应用的所有规则即为合规。否则为非合规。同样地,如果由规则评估的所有资源都符合该规则,则该规则合规。否则为非合规。在某些情况下,例如为规则提供的权限不足时,可能不存在资源评估,从而导致数据不足的状态。此状态不能确定资源或规则的合规性状态。
问:Config Rules 控制面板提供哪些信息?
Config Rules 控制面板为您提供由 Amazon Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时,您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性,这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图,您可以深入了解资源的 Config 时间线视图,从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解,然后深入查看细化视图,这些视图提供有关合规性状态以及哪些更改导致非合规的完整信息。
问:什么是资源的配置?
资源的配置由 Amazon Config 的配置项 (CI) 中所含的数据定义。Config Rules 的初始版本为相关规则提供了资源的 CI。Config Rules 可以将此信息以及任何其他相关信息(例如其他附加资源、工作时间等)一起用于评估资源配置的合规性。
问:什么是规则?
规则表示用于资源的期望配置项 (CI) 属性值,并通过将这些属性值与 Amazon Config 所记录的 CI 比较进行评估。规则有两种类型:
亚马逊云科技 托管规则:亚马逊云科技 托管规则为预建规则,由 亚马逊云科技 托管。您只需选择希望启用的规则,然后提供一些配置参数即可开始使用。
客户托管规则:客户托管规则为自定义规则,由您定义和生成。您可以在 Amazon Lambda 中创建能够作为自定义规则的一部分来调用的函数,这些函数将在您的账户中执行。
开始使用 Amazon Config 最快捷的方式就是使用 Amazon 管理控制台。单击几次即可启用 Amazon Config。有关其他详细信息,请参阅文档。
问:如何创建规则?
规则通常由 亚马逊云科技 账户管理员建立。可以利用 亚马逊云科技 托管规则(由 亚马逊云科技 提供的一组预定义规则)或通过客户托管规则进行创建。借助 亚马逊云科技 托管规则,对规则进行的更新将自动应用于任何使用该规则的账户。在客户托管模型中,客户具有该规则的完整副本,并在其自己的账户中执行该规则。这些规则由客户维护。
问:我可以创建多少个规则?
默认情况下,您在 亚马逊云科技 账户中最多可以创建 50 个规则。此外,您可以访问 亚马逊云科技 服务限制页面,申请提高您的账户中的规则数量上限。
问:如何评估规则?
任何规则都可以作为由更改触发的规则或作为定期规则建立。由更改触发的规则在 Amazon Config 为任何指定资源记录配置更改后执行。此外,还必须指定以下项之一:
定期规则以指定的频率触发。可用频率为 1 小时、3 小时、6 小时、12 小时或 24 小时。定期规则具有适用于该规则的所有资源当前配置项 (CI) 的完整快照。
问:我只有一个账户,我还能利用数据聚合功能吗?
数据聚合功能对于多区域聚合也很有用。因此,您可以使用此功能跨多个区域聚合账户的 Amazon Config 数据。
问:Config Rules 控制面板提供哪些信息?
Config Rules 控制面板为您提供由 Amazon Config 跟踪的资源概述以及按资源和按规则显示的当前合规性摘要。当您按资源查看合规性时,您可以确定适用于资源的任何规则当前是否为非合规。您可以按规则查看合规性,这将向您显示规则范围下的任何资源当前是否为非合规。通过使用这些摘要视图,您可以深入了解资源的 Config 时间线视图,从而确定哪些配置参数发生变更。您可以使用此控制面板从概述开始了解,然后深入查看细化视图,这些视图提供有关合规性状态以及哪些更改导致非合规的完整信息。