Überlegungen Verwendungsmöglichkeiten AWS Config Features

Was ist AWS Config?

AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem AWS Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern.

Eine AWS Ressource ist eine Entität, mit der Sie arbeiten können AWS, z. B. eine Amazon Elastic Compute Cloud (EC2) -Instance, ein Amazon Elastic Block Store (EBS) -Volume, eine Sicherheitsgruppe oder eine Amazon Virtual Private Cloud (VPC). Eine vollständige Liste der AWS Ressourcen, die von unterstützt werden, finden Sie unter AWS Config. Unterstützte Ressourcentypen

Überlegungen

AWS-Konto: Sie benötigen eine aktive AWS-Konto. Weitere Informationen finden Sie unter Registrierung für AWS.
Amazon S3 S3-Bucket: Sie benötigen einen S3-Bucket, um Daten für Ihre Konfigurations-Snapshots und den Verlauf zu empfangen. Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.
Amazon SNS-Thema: Sie benötigen ein Amazon SNS, um Benachrichtigungen zu erhalten, wenn es Änderungen an Ihren Konfigurations-Snapshots und Ihrem Verlauf gibt. Weitere Informationen finden Sie unter Berechtigungen für das Amazon SNS SNS-Thema.
IAM-Rolle: Sie benötigen eine IAM-Rolle, die über die erforderlichen Zugriffsberechtigungen verfügt. AWS Config Weitere Informationen finden Sie unter Berechtigungen für die IAM-Rolle.
Ressourcentypen: Sie können entscheiden, welche Ressourcentypen Sie aufzeichnen AWS Config möchten. Weitere Informationen finden Sie unter AWS Ressourcen aufzeichnen.

Verwendungsmöglichkeiten AWS Config

Wenn Sie Ihre Anwendungen darauf ausführen AWS, verwenden Sie in der Regel AWS Ressourcen, die Sie gemeinsam erstellen und verwalten müssen. Mit der steigenden Nachfrage nach Ihrer Anwendung wächst auch Ihr Bedarf, den Überblick über Ihre AWS Ressourcen zu behalten. AWS Config wurde entwickelt, um Ihnen bei der Verwaltung Ihrer Anwendungsressourcen in den folgenden Szenarien zu helfen:

Verwaltung von Ressourcen

Um die Konfigurationen der Ressourcen besser zu kontrollieren und Fehlkonfigurationen zu erkennen, benötigen Sie detaillierte Erkenntnisse darüber, welche Ressourcen vorhanden sind und wie diese Ressourcen zu jeder Zeit konfiguriert sind. Sie können es verwenden, AWS Config um Sie zu benachrichtigen, wenn Ressourcen erstellt, geändert oder gelöscht werden, ohne dass Sie diese Änderungen überwachen müssen, indem Sie die Aufrufe der einzelnen Ressourcen abfragen.

Sie können AWS Config Regeln verwenden, um die Konfigurationseinstellungen Ihrer AWS Ressourcen auszuwerten. Wenn AWS Config festgestellt wird, dass eine Ressource gegen die Bedingungen in einer Ihrer Regeln verstößt, wird die AWS Config Ressource als nicht konform gekennzeichnet und eine Benachrichtigung gesendet. AWS Config bewertet Ihre Ressourcen kontinuierlich, wenn sie erstellt, geändert oder gelöscht werden.

Überprüfung und Compliance

Möglicherweise arbeiten Sie mit Daten, die häufigen Überprüfungen unterliegen, um die Compliance mit internen Richtlinien und bewährten Methoden sicherzustellen. Um die Compliance nachzuweisen, benötigen Sie Zugriff auf historische Konfigurationen Ihrer Ressourcen. Diese Informationen werden bereitgestellt von AWS Config.

Verwalten von Konfigurationsänderungen und Beheben von Problemen, die dabei auftreten können

Wenn Sie mehrere AWS Ressourcen verwenden, die voneinander abhängen, kann eine Änderung der Konfiguration einer Ressource unbeabsichtigte Auswirkungen auf verwandte Ressourcen haben. Mit können Sie überprüfen AWS Config, wie die Ressource, die Sie ändern möchten, mit anderen Ressourcen zusammenhängt, und die Auswirkungen Ihrer Änderung abschätzen.

Sie können auch die von AWS Config bereitgestellten historischen Konfigurationen der Ressourcen nutzen, um Probleme zu beheben und auf die letzte als funktionierend bekannte Konfiguration einer Problemressource zuzugreifen.

Sicherheitsanalyse

Um potenzielle Sicherheitslücken zu analysieren, benötigen Sie detaillierte historische Informationen über Ihre AWS Ressourcenkonfigurationen, z. B. die AWS Identity and Access Management (IAM-) Berechtigungen, die Ihren Benutzern gewährt wurden, oder die Amazon EC2-Sicherheitsgruppenregeln, die den Zugriff auf Ihre Ressourcen kontrollieren.

Sie können AWS Config damit jederzeit die IAM-Richtlinie einsehen, die einem Benutzer, einer Gruppe oder einer Rolle zugewiesen wurde, während der Aufzeichnung. AWS Config Anhand dieser Informationen können Sie die Berechtigungen bestimmen, über die ein Benutzer zu einer bestimmten Zeit verfügt hat. Sie können beispielsweise ermitteln, ob der Benutzer John Doe am 1. Januar 2015 berechtigt war, Amazon-VPC-Einstellungen zu ändern.

Sie können AWS Config damit auch die Konfiguration Ihrer EC2-Sicherheitsgruppen anzeigen, einschließlich der Portregeln, die zu einem bestimmten Zeitpunkt geöffnet waren. Mit diesen Informationen können Sie bestimmen, ob eine Sicherheitsgruppe den eingehenden TCP-Datenverkehr für einen bestimmten Port blockiert hat.

Partnerlösungen

AWS arbeitet mit externen Spezialisten für Protokollierung und Analyse zusammen, um Lösungen bereitzustellen, die AWS Config Ergebnisse verwenden. Weitere Informationen finden Sie auf der AWS Config Detailseite unter AWS Config.

Features

Bei der Einrichtung AWS Config können Sie wie folgt vorgehen:

Ressourcenmanagement

Geben Sie die Ressourcentypen an, die Sie aufzeichnen AWS Config möchten.

Richten Sie einen Amazon-S3-Bucket für den Empfang eines Konfigurations-Snapshots (auf Anfrage) und eines Konfigurationsverlaufs ein.
Richten Sie ein Amazon-SNS-Thema ein, um Benachrichtigungen für den Konfigurations-Stream zu senden.
Gewähren Sie ihm AWS Config die Berechtigungen, die für den Zugriff auf den Amazon S3 S3-Bucket und das Amazon SNS SNS-Thema erforderlich sind.

Weitere Informationen finden Sie unter AWS Ressourcenkonfigurationen und Verlauf anzeigen und AWS Ressourcenkonfigurationen und Verlauf verwalten.

Regeln und Conformance Packs

Geben Sie die Regeln an, anhand derer Sie AWS Config die Konformitätsinformationen für die aufgezeichneten Ressourcentypen auswerten möchten.
Verwenden Sie Konformitätspakete oder eine Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die als eine Einheit in Ihrem System bereitgestellt und überwacht werden können. AWS-Konto

Weitere Informationen finden Sie unter Evaluierung von Ressourcen mit AWS Config Regeln und Konformitätspaketen.

Aggregatoren

Verwenden Sie einen Aggregator, um einen zentralen Überblick über Ihren Ressourcenbestand und die Compliance zu erhalten. Ein Aggregator sammelt AWS Config Konfigurations- und Compliance-Daten aus mehreren AWS-Konten AWS Regionen in einem einzigen Konto und einer Region.

Weitere Informationen finden Sie unter Datenaggregation für mehrere Konten und Regionen.

Erweiterte Abfragen

Verwenden Sie eine der Beispielabfragen oder schreiben Sie Ihre eigene Abfrage, indem Sie auf das Konfigurationsschema der AWS Ressource verweisen.

Weitere Informationen finden Sie unter Abfragen des aktuellen Konfigurationsstatus von AWS Ressourcen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wie AWS Config funktioniert