AWS Config Terminologie und Konzepte - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Config Terminologie und Konzepte

Um Ihnen das Verständnis zu erleichtern AWS Config, werden in diesem Thema einige der wichtigsten Konzepte erläutert.

AWS Config Schnittstellen

AWS Config Konsole

Sie können den Dienst über die AWS Config Konsole verwalten. Weitere Informationen zu dem finden AWS Management Console Sie unter AWS Management Console.

AWS Config CLI

Das AWS Command Line Interface ist ein einheitliches Tool, mit dem Sie über die AWS Config Befehlszeile interagieren können. Weitere Informationen finden Sie im AWS Command Line Interface -Benutzerhandbuch. Eine vollständige Liste der AWS Config CLI-Befehle finden Sie unter Verfügbare Befehle.

AWS Config APIs

Neben der Konsole und der CLI können Sie auch AWS Config direkt die AWS Config RESTful APIs zur Programmierung verwenden. Weitere Informationen finden Sie in der AWS Config -API-Referenz.

AWS Config SDKs

Als Alternative zur Verwendung der AWS Config API können Sie eine der verwenden AWS SDKs. Jedes SDK enthält Bibliotheken und Beispiel-Code für verschiedene Programmiersprachen und Plattformen. SDKs Sie bieten eine bequeme Möglichkeit, programmatischen Zugriff auf zu AWS Config erstellen. Sie können das beispielsweise verwenden, um Anfragen kryptografisch SDKs zu signieren, Fehler zu verwalten und Anfragen automatisch zu wiederholen. Weitere Informationen finden Sie unter Tools für Amazon Web Services.

Ressourcenmanagement

Wenn Sie die grundlegenden Komponenten von verstehen, können AWS Config Sie den Ressourcenbestand und die Änderungen nachverfolgen und die Konfigurationen Ihrer Ressourcen bewerten. AWS

AWS Ressourcen

AWS Ressourcen sind Entitäten, die Sie mit den AWS Management Console Tools AWS Command Line Interface (CLI) AWS SDKs, oder AWS Partnern erstellen und verwalten. Zu den AWS Ressourcen gehören beispielsweise EC2 Amazon-Instances, Sicherheitsgruppen VPCs, Amazon und Amazon Elastic Block Store. AWS Config bezieht sich auf jede Ressource unter Verwendung ihrer eindeutigen Kennung, z. B. der Ressourcen-ID oder eines Amazon-Ressourcennamens (ARN). Eine Liste der AWS Config unterstützten Ressourcentypen finden Sie unterUnterstützte Ressourcentypen für AWS Config.

Ressourcenbeziehung

AWS Config erkennt AWS Ressourcen in Ihrem Konto und erstellt dann eine Übersicht der Beziehungen zwischen AWS Ressourcen. Eine Beziehung kann beispielsweise ein Amazon EBS-Volume beinhalten, das an eine EC2 Amazon-Instance vol-123ab45d angehängt isti-a1b2c3d4, die einer Sicherheitsgruppe sg-ef678hk zugeordnet ist.

Weitere Informationen finden Sie unter Unterstützte Ressourcentypen für AWS Config.

Configuration Recorder

Der Konfigurationsrekorder speichert die Konfigurationsänderungen an den Ressourcentypen im Gültigkeitsbereich als Konfigurationselemente. Weitere Informationen finden Sie unter Arbeiten mit dem Konfigurationsrekorder.

Es gibt zwei Arten von Konfigurationsrekordern.

Typ Beschreibung
Vom Kunden verwalteter Konfigurationsrekorder Ein von Ihnen verwalteter Konfigurationsrekorder. Die im Geltungsbereich enthaltenen Ressourcentypen werden von Ihnen festgelegt. Standardmäßig zeichnet ein vom Kunden verwalteter Konfigurationsrekorder alle unterstützten Ressourcen in dem Bereich auf, in AWS-Region dem er ausgeführt AWS Config wird.
Mit dem Dienst verbundener Konfigurationsrekorder Ein Konfigurationsrekorder, der mit einem bestimmten AWS-Service verknüpft ist. Die im Gültigkeitsbereich angegebenen Ressourcentypen werden vom verknüpften Dienst festgelegt.

Übermittlungskanal

Da AWS Config kontinuierlich die Änderungen an Ihren AWS Ressourcen aufgezeichnet werden, werden Benachrichtigungen und aktualisierte Konfigurationsstatus über den Bereitstellungskanal gesendet. Sie können den Lieferkanal verwalten, um zu kontrollieren, wohin Konfigurationsupdates AWS Config gesendet werden.

Konfigurationselemente

Ein Konfigurationselement stellt eine point-in-time Ansicht der verschiedenen Attribute einer unterstützten AWS Ressource dar, die in Ihrem Konto vorhanden ist. Zu den Komponenten eines Konfigurationselements gehören Metadaten, Attribute, Beziehungen, die aktuelle Konfiguration und verwandte Ereignisse. AWS Config erstellt ein Konfigurationselement, wenn es eine Änderung an einem Ressourcentyp erkennt, den es aufzeichnet. Wenn beispielsweise Amazon S3 S3-Buckets aufgezeichnet werden, AWS Config wird jedes Mal, wenn ein Bucket AWS Config erstellt, aktualisiert oder gelöscht wird, ein Konfigurationselement erstellt. Sie können auch auswählen AWS Config , ob ein Konfigurationselement mit der von Ihnen festgelegten Aufzeichnungsfrequenz erstellt werden soll.

Weitere Informationen finden Sie unter Components of a Configuration Item Aufnahmefrequenz.

Konfigurationsverlauf

Ein Konfigurationsverlauf ist die Sammlung der Konfigurationselemente für eine bestimmte Ressource über einen beliebigen Zeitraum. Ein Konfigurationsverlauf kann Ihnen bei der Beantwortung von Fragen helfen: z. B. wann die Ressource erstmalig erstellt wurde, wie die Ressource im letzten Monat konfiguriert wurde und welche Konfigurationsänderungen gestern um 9.00 Uhr eingeführt wurden. Der Konfigurationsverlauf steht Ihnen in verschiedenen Formaten zur Verfügung. AWS Config liefert automatisch eine Konfigurationsverlaufsdatei für jeden Ressourcentyp, der in einem von Ihnen angegebenen Amazon S3 S3-Bucket aufgezeichnet wird. Sie können eine bestimmte Ressource in der AWS Config Konsole auswählen und mithilfe der Zeitleiste zu allen vorherigen Konfigurationselementen für diese Ressource navigieren. Zusätzlich können Sie über die API auf historische Konfigurationselemente für eine Ressource zugreifen.

Weitere Informationen finden Sie unter Konformitätsverlauf anzeigen und Kompatibilitätsverlauf abfragen.

Konfigurations-Snapshot

Ein Konfigurations-Snapshot ist eine Sammlung der Konfigurationselemente der unterstützten Ressourcen in Ihrem Konto. Dieser Konfigurations-Snapshot liefert ein vollständiges Bild der derzeit aufgezeichneten Ressourcen und deren Konfigurationen. Die Konfigurations-Snapshot ist ein nützliches Tool für die Validierung Ihrer Konfiguration. Sie können beispielsweise den Konfigurations-Snapshot regelmäßig auf falsch konfigurierte Ressourcen oder solche, die potentiell nicht vorhanden sein sollten, hin prüfen. Der Konfigurations-Snapshot ist in mehreren Formaten verfügbar. Der Konfigurations-Snapshot kann an einen von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket übermittelt werden. Darüber hinaus können Sie in der AWS Config Konsole einen Zeitpunkt auswählen und mithilfe der Beziehungen zwischen den Ressourcen durch den Snapshot der Konfigurationselemente navigieren.

Weitere Informationen finden Sie unter Bereitstellen von Konfigurations-Snapshots, Anzeigen von Konfigurations-Snapshots und Beispiel für einen Konfigurations-Snapshot.

Konfigurations-Stream

Ein Konfigurationsstream ist eine automatisch aktualisierte Liste aller Konfigurationselemente für die Ressourcen, AWS Config die aufgezeichnet werden. Bei jeder Erstellung, Änderung oder Löschung einer Ressource wird von AWS Config ein neues Konfigurationselement erstellt und dem Konfigurations-Stream hinzugefügt. Der Konfigurationsstream verwendet ein Amazon Simple Notification Service (Amazon SNS)-Thema Ihrer Wahl. Der Konfigurationsstream ist hilfreich, um Konfigurationsänderungen sofort zu beobachten, sodass Sie potenzielle Probleme erkennen können, Benachrichtigungen zu generieren, wenn bestimmte Ressourcen geändert werden, oder externe Systeme zu aktualisieren, die die Konfiguration Ihrer AWS Ressourcen widerspiegeln müssen.

AWS Config Regeln

Eine AWS Config Regel ist eine Konformitätsprüfung, mit der Sie Ihre idealen Konfigurationseinstellungen für bestimmte AWS Ressourcen verwalten können. AWS Config bewertet, ob Ihre Ressourcenkonfigurationen den relevanten Regeln entsprechen, und zeigt die Konformitätsergebnisse an.

Ergebnisse der Bewertung

Es gibt vier mögliche Bewertungsergebnisse für eine AWS Config Regel.

Ergebnis der Bewertung Beschreibung
COMPLIANT Die Regel erfüllt die Bedingungen der Konformitätsprüfung.
NON_COMPLIANT Die Regel erfüllt die Bedingungen der Konformitätsprüfung nicht.
ERROR Einer der erforderlichen/optionalen Parameter ist ungültig, hat nicht den richtigen Typ oder ist falsch formatiert.
NOT_APPLICABLE Wird verwendet, um Ressourcen herauszufiltern, auf die die Logik der Regel nicht angewendet werden kann. Die alb-desync-mode-checkRegel überprüft beispielsweise nur Application Load Balancer und ignoriert Network Load Balancers und Gateway Load Balancers.

Regeltypen

Es gibt zwei Arten von Regeln. Weitere Informationen zur Struktur von Regeldefinitionen und Regelmetadaten finden Sie unter Komponenten einer AWS Config Regel.

Typ Beschreibung Weitere Informationen
Verwaltete Regeln Vordefinierte, anpassbare Regeln, erstellt von AWS Config. Eine Liste der verwalteten Regeln finden Sie unter Liste der AWS Config verwalteten Regeln.
Benutzerdefinierte Regeln Regeln, die Sie von Grund auf neu erstellen. Es gibt zwei Möglichkeiten, AWS Config benutzerdefinierte Regeln zu erstellen: Lambda-Funktionen (AWS Lambda Developer Guide) und Guard (Guard GitHub Repository) Weitere Informationen finden Sie unter AWS Config Benutzerdefinierte Richtlinienregeln erstellen und AWS Config Benutzerdefinierte Lambda-Regeln erstellen.

Auslösertypen

Nachdem Sie Ihrem Konto eine Regel hinzugefügt haben, werden Ihre Ressourcen mit den Bedingungen der Regel AWS Config verglichen. Nach dieser ersten Evaluierung werden die Evaluierungen jedes Mal, wenn eine ausgelöst wird, AWS Config fortgesetzt. Die Evaluierungsauslöser sind als Teil der Regel definiert und können die folgenden Typen beinhalten.

Typ des Triggers Beschreibung
Konfigurationsänderungen AWS Config führt Evaluierungen für die Regel durch, wenn es eine Ressource gibt, die dem Geltungsbereich der Regel entspricht, und wenn sich die Konfiguration der Ressource ändert. Die Evaluierung wird ausgeführt, nachdem eine Benachrichtigung über eine Änderung des Konfigurationselements AWS Config gesendet wurde.

Sie können auswählen, welche Ressourcen die Auswertung auslösen, indem Sie den Umfang der Regel definieren. Im Umfang kann Folgendes enthalten sein:

  • Mindestens ein Ressourcentyp

  • Eine Kombination aus einem Ressourcentyp und einer Ressourcen-ID

  • Eine Kombination aus einem Tag-Schlüssel und einem Wert

  • Wann alle aufgezeichneten Ressourcen erstellt, aktualisiert oder gelöscht wurden

AWS Config führt die Evaluierung aus, wenn eine Änderung an einer Ressource erkannt wird, die dem Geltungsbereich der Regel entspricht. Sie können den Umfang verwenden, um zu definieren, welche Ressourcen Auswertungen auslösen.

Regelmäßig AWS Config führt Evaluierungen für die Regel in einer von Ihnen festgelegten Häufigkeit durch, z. B. alle 24 Stunden.
Hybrid Einige Regeln werden sowohl durch Konfigurationsänderungen als auch nach einem Zeitplan ausgelöst. Bei diesen Regeln werden Ihre Ressourcen AWS Config ausgewertet, wenn eine Konfigurationsänderung erkannt wird, und auch in der von Ihnen angegebenen Häufigkeit.

Auswertungsmodi

Es gibt zwei Bewertungsmodi für AWS Config Regeln.

Bewertungsmodus Beschreibung
Proaktiv

Verwenden Sie die proaktive Auswertung, um Ressourcen vor der Bereitstellung auszuwerten. Auf diese Weise können Sie auswerten, ob ein Satz von Ressourceneigenschaften, wenn er zur Definition einer AWS Ressource verwendet würde, angesichts der proaktiven Regeln, die Sie in Ihrem Konto in Ihrer Region haben, als KONFORM oder NICHT KONFORM gelten würde.

Weitere Informationen finden Sie unter Auswertungsmodi. Eine Liste der verwalteten Regeln, die eine proaktive Bewertung unterstützen, finden Sie unter Liste der AWS Config verwalteten Regeln nach Testmodus.

Detektivisch Mit der detektivischen Auswertung können Sie Ressourcen auswerten, die bereits bereitgestellt wurden. Auf diese Weise lassen sich die Konfigurationseinstellungen Ihrer vorhandenen Ressourcen auswerten.
Anmerkung

Durch proaktive Regeln werden keine Ressourcen korrigiert, die als NON_COMPLIANT gekennzeichnet sind, und sie verhindern auch nicht, dass diese bereitgestellt werden.

Konformitätspakete

Ein Konformitätspaket ist eine Sammlung von AWS Config Regeln und Korrekturmaßnahmen, die einfach als einzelne Einheit in einem Konto und einer Region oder unternehmensweit in einem Unternehmen eingesetzt werden können. AWS Organizations

Conformance Packs werden erstellt, indem eine YAML-Vorlage erstellt wird, die die Liste der von AWS Config verwalteten oder benutzerdefinierten Regeln und Korrekturmaßnahmen enthält. Sie können die Vorlage mithilfe der AWS Config -Konsole oder der AWS CLI bereitstellen.

Verwenden Sie eine der Mustervorlagen für Conformance Packs, um schnell loszulegen und Ihre AWS Umgebung zu bewerten. Sie können auch eine YAML-Datei für ein Conformance Pack von Grund auf neu erstellen. Weitere Informationen finden Sie unter Custom Conformance Pack. Ein benutzerdefiniertes Conformance Pack ist eine einzigartige Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die Sie gemeinsam in einem Konto und einer AWS Region oder unternehmensweit einsetzen können. AWS Organizations

Prozessprüfungen sind eine Art von AWS Config Regel, mit der Sie Ihre externen und internen Aufgaben, die im Rahmen der Konformitätspakete überprüft werden müssen, nachverfolgen können. Diese Prüfungen können einem vorhandenen Conformance Pack oder einem neuen Conformance Pack hinzugefügt werden. Sie können die gesamte Einhaltung der Vorschriften, einschließlich AWS Config der Dauer und manueller Prüfungen, an einem einzigen Ort nachverfolgen.

Datenaggregation für mehrere Konten und Regionen

Durch die Datenaggregation für mehrere Konten und mehrere Regionen AWS Config können Sie AWS Config Konfigurations- und Compliance-Daten aus mehreren Konten und Regionen in einem einzigen Konto zusammenfassen. Die Datenaggregation mit mehreren Konten und mehreren Regionen ist für zentrale IT-Administratoren nützlich, um die Einhaltung der Vorschriften für mehrere Benutzer im Unternehmen zu überwachen. AWS-Konten Durch die Verwendung von Aggregatoren fallen keine zusätzlichen Kosten an.

Quellkonto

Ein Quellkonto ist das Konto, AWS-Konto von dem aus Sie AWS Config Ressourcenkonfigurations- und Compliance-Daten aggregieren möchten. Ein Quellkonto kann ein einzelnes Konto oder eine Organisation in AWS Organizations sein. Sie können Quellkonten einzeln bereitstellen oder sie über abrufen AWS Organizations.

Quellregion

Eine Quellregion ist die AWS Region, aus der Sie AWS Config Konfigurations- und Compliance-Daten aggregieren möchten.

Aggregator

Ein Aggregator sammelt AWS Config Konfigurations- und Compliance-Daten aus mehreren Quellkonten und Regionen. Erstellen Sie einen Aggregator in der Region, in der Sie die aggregierten AWS Config Konfigurations- und Compliance-Daten sehen möchten.

Anmerkung

Aggregatoren bieten eine schreibgeschützte Ansicht der Quellkonten und Regionen, zu deren Anzeige der Aggregator berechtigt ist, indem sie Daten aus den Quellkonten in das Aggregatorkonto replizieren. Aggregatoren bieten keinen mutierenden Zugriff auf ein Quellkonto oder eine Quellregion. Dies bedeutet beispielsweise, dass Sie Regeln nicht über einen Aggregator bereitstellen oder Snapshot-Dateien nicht über einen Aggregator an ein Quellkonto oder eine Quellregion übertragen können.

Aggregatorkonto

Ein Aggregatorkonto ist das Konto, in dem Sie einen Aggregator erstellen.

Autorisierung

Als Inhaber eines Quellkontos bezieht sich die Autorisierung auf die Berechtigungen, die Sie einem Aggregatorkonto und einer Region zur Erfassung Ihrer AWS Config Konfigurations- und Compliance-Daten gewähren. Die Autorisierung ist nicht erforderlich, wenn Sie Quellkonten aggregieren, die Teil von AWS Organizations sind.