Concetti - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concetti

AWS Config offre una visualizzazione dettagliata delle risorse associate al tuo account AWS, ad esempio come sono state configurate, quale relazione intercorre tra le singole risorse e come le relative configurazioni e relazioni sono cambiate nel corso del tempo. Analizziamo più approfonditamente i concetti di AWS Config.

AWS Config

Comprendere i componenti di base di AWS Config ti consente di monitorare l'inventario e le modifiche delle risorse e di valutare le configurazioni delle tue risorse AWS.

Risorse di AWS

Le risorse di AWS sono entità che è puoi creare e gestire utilizzando il AWS Management Console, la AWS Command Line Interface (CLI), l'SDK AWS o gli strumenti di AWS dei partner. Esempi diAWSle risorse includono istanze Amazon EC2, gruppi di sicurezza, Amazon VPC e Amazon Elastic Block Store.AWS Configfa riferimento a ciascuna risorsa utilizzando il suo identificatore univoco, ad esempio l'ID della risorsa o unAmazon Resource Name (ARN). Per dettagli, consultare Tipi di risorsa supportati.

Storico della configurazione

Una cronologia della configurazione è una raccolta di elementi della configurazione per una data risorsa durante un qualsiasi periodo di tempo. Una cronologia della configurazione può aiutarti a rispondere a domande relative, ad esempio, a quando la risorsa è stata creata per la prima volta, al modo in cui la risorsa è stata configurata durante l'ultimo mese e alle modifiche della configurazione che sono state apportate ieri alle 9 di mattina. La cronologia della configurazione è disponibile in più formati.AWS ConfigDistribuisce automaticamente un file della cronologia della configurazione per ciascun tipo di risorsa che viene registrato in un bucket Amazon S3 specificato. Puoi selezionare una determinata risorsa nella console AWS Config e accedere a tutti gli elementi della configurazione precedente della risorsa utilizzando la timeline. Inoltre, puoi accedere allo storico degli elementi della configurazione di una risorsa tramite l'API.

Elementi della configurazione

UNelemento della configurazionerappresenta un point-in-time visualizzazione dei vari attributi di un supportatoAWSEsiste nel proprio account. I componenti di un elemento della configurazione includono metadati, attributi, relazioni, configurazione corrente ed eventi correlati. AWS Config crea un elemento della configurazione ogni volta che rileva una modifica a un tipo di risorsa che è sotto registrazione. Ad esempio, seAWS Configsta registrando i bucket Amazon S3,AWS Configcrea un elemento della configurazione ogni volta che viene creato, aggiornato o eliminato un bucket.

Per ulteriori informazioni, consulta la pagina Components of a Configuration Item .

Registratore della configurazione

Il registratore della configurazione memorizza le configurazioni delle risorse supportate nel tuo account come elementi di configurazione. Prima di poter avviare la registrazione, devi creare e quindi avviare la registrazione della configurazione. Puoi arrestare e riavviare la registrazione della configurazione in qualsiasi momento. Per ulteriori informazioni, consulta la pagina Gestione del registratore della configurazione .

Per impostazione predefinita, il registratore della configurazione registra tutte le risorse supportate nella regione in cui AWS Config è in esecuzione. Puoi creare un registratore della configurazione personalizzato che registra solo i tipi di risorse specificati dall'utente. Per ulteriori informazioni, consulta la pagina Scegli quali risorse deve registrare AWS Config .

Se usi la AWS Management Console o l'interfaccia a riga di comando per disattivare il servizio, AWS Config crea automaticamente e quindi avvia la registrazione della configurazione per tuo conto.

Snapshot della configurazione

Uno snapshot della configurazione è una raccolta degli elementi della configurazione per tutte le risorse supportate presenti nel tuo account. Questo snapshot della configurazione fornisce un quadro completo delle risorse che vengono registrate e delle loro configurazioni. Lo snapshot della configurazione può essere uno strumento utile per convalidare la configurazione. Ad esempio, puoi esaminare regolarmente lo snapshot della configurazione alla ricerca di risorse che siano state configurate non correttamente o che, potenzialmente, non dovrebbero esistere. Lo snapshot della configurazione è disponibile in più formati. Puoi ricevere la distribuzione dello snapshot della configurazione a un bucket Amazon Simple Storage Service (Amazon S3) specificato. Inoltre, puoi selezionare un istante temporale nella console AWS Config ed esplorare gli snapshot della configurazione sfruttando le relazioni tra le risorse.

Flusso di configurazione

Un flusso di configurazione è un elenco aggiornato automaticamente di tutti gli elementi della configurazione per le risorse che AWS Config sta registrando. Ogni volta che una risorsa viene creato, modificata o eliminata, AWS Config crea un elemento della configurazione e lo aggiunge al flusso di configurazione. Il flusso di configurazione funziona utilizzando un argomento Amazon Simple Notification Service (Amazon SNS) di tua scelta. Il flusso di configurazione è utile per osservare le modifiche della configurazione nel momento in cui si verificano, in modo da individuare i potenziali problemi, generando notifiche se delle specifiche risorse sono modificate o aggiornando sistemi esterni che devono riflettere la configurazione delle risorse AWS.

Relazioni tra le risorse

AWS Config individua le risorse AWS dell'account e quindi crea una mappa delle relazioni tra le risorse AWS. Ad esempio, una relazione potrebbe includere un volume Amazon EBSvol-123ab45dCollegare a un'istanza Amazon EC2i-a1b2c3d4associato al gruppo di sicurezzasg-ef678hk.

Per ulteriori informazioni, consulta la pagina Tipi di risorsa supportati .

Regole personalizzate e gestite di AWS Config

Una regola AWS Config rappresenta le impostazioni della configurazione desiderate per le specifiche risorse AWS o per un intero account AWS. AWS Config fornisce regole predefinite personalizzabili per aiutarti a iniziare. Se una risorsa viola una regola,AWS Configcontrassegna la risorsa e la regola come non conformi eAWS Configti invia una notifica tramite Amazon SNS

Regole AWS Config personalizzate

Con AWS Config puoi anche creare regole personalizzate. Mentre AWS Config monitora continuamente le modifiche alla configurazione delle risorse, controlla che tali modifiche non violino nessuna delle condizioni espresse nelle regole.

Dopo aver attivato una regola, AWS Config confronta le risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire valutazioni ogni volta che viene attivata. Gli eventi scatenanti della valutazione sono definiti come parte della regola e possono includere le seguenti tipologie:

  • Modifiche della configurazione —AWS Configattiva la valutazione quando nella configurazione viene rilevate la modifica di una qualsiasi risorsa che soddisfa l'ambito della regola. La valutazione viene eseguita dopo che AWS Config ha inviato una notifica di modifica dell'elemento di configurazione.

  • Periodico —AWS Configesegue le valutazioni della regola con una frequenza scelta dall'utente (ad esempio, ogni 24 ore).

Per ulteriori informazioni, consulta la pagina Valutazione delle risorse conAWS ConfigRegole .

Aggregazione di dati multi-regione multi-account

L'aggregazione di dati multi-regione multi-account in AWS Config consente di aggregare i dati di configurazione e conformità di AWS Config provenienti da più account e regioni in un unico account. L'aggregazione di dati multi-regione multi-account è utile per gli amministratori del reparto IT per monitorare la conformità dei moltepliciAWSconti nell'azienda.

Account di origine

Un account di origine è ilAWSaccount da cui si desidera aggregareAWS ConfigDati di conformità e configurazione di. Un account di origine può essere un account singolo o un'organizzazione in AWS Organizations. Puoi indicare gli account di origine individualmente oppure recuperarli tramite AWS Organizations.

Regione di origine

Una regione di origine è laAWSRegione da cui si desidera aggregareAWS ConfigDati di conformità e configurazione di.

Aggregatore

Un aggregatore è un nuovo tipo di risorsa in AWS Config che raccoglie i dati di configurazione e conformità di AWS Config da più account e regioni. Crea un aggregatore nella regione in cui desideri visualizzare i dati di configurazione e conformità AWS Config aggregati.

Nota

Gli aggregatori forniscono unvisualizzazione di sola letturanei conti di origine e nelle regioni che l'aggregatore è autorizzato a visualizzare. Gli aggregatori non forniscono un accesso mutante all'account o alla regione di origine. Ad esempio, ciò significa che non è possibile distribuire le regole tramite un aggregatore o estrarre file snapshot dall'account o dall'area di origine tramite un aggregatore.

Account aggregatore

Un account aggregatore è un account all'interno del quale crei un aggregatore.

Autorizzazione

In qualità di proprietario dell'account di origine, autorizzazione si riferisce alle autorizzazioni che concedi a un account e a una regione dell'aggregatore per raccogliere i dati di configurazione e conformità di AWS Config. L'autorizzazione non è obbligatoria se stai aggregando account di origine che fanno parte di AWS Organizations.

Per ulteriori informazioni, consulta la sezione Multi-Account Multi-Region Data Aggregation.

Gestione di AWS Config

Console AWS Config

Puoi gestire il servizio utilizzando la console AWS Config. La console offre un'interfaccia utente per l'esecuzione di molte attività AWS Config quali:

  • Specifica i tipi di risorse AWS per la registrazione.

  • Configurazione delle risorse da registrare, incluse:

    • Selezione di un bucket Amazon S3.

    • Selezione di un argomento Amazon SNS

    • Creazione di un ruolo AWS Config.

  • Creazione di regole gestite e di regole personalizzate che rappresentano impostazioni di configurazione desiderate per specifiche risorse AWS o per un intero account AWS.

  • Creazione e gestione di aggregatori di configurazione per aggregare i dati tra molteplici account e regioni.

  • Visualizzazione di uno snapshot della configurazione attuale delle risorse supportate.

  • Visualizzazione delle relazioni tra le risorse AWS.

Per ulteriori informazioni su AWS Management Console, consulta AWS Management Console.

CLI AWS Config

La AWS Command Line Interface è uno strumento centralizzato che puoi utilizzare per interagire con AWS Config mediante la riga di comando. Per ulteriori informazioni, vedi la Guida per l'utente AWS Command Line Interface. Per un elenco completo dei comandi della CLI AWS Config, consulta la sezione Comandi Disponibili.

API AWS Config

Oltre alla console e alla CLI, puoi utilizzare anche le API RESTful AWS Config per programmare direttamente all'interno degli ambienti AWS Config. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS Config.

SDK AWS

In alternativa all'utilizzo delAWS ConfigAPI, puoi usare uno deiAWSSDK. Ogni SDK include librerie e codice di esempio per piattaforme e linguaggi di programmazione diversi. Gli SDK rappresentano un sistema molto comodo per creare un accesso programmatico a AWS Config. Ad esempio, puoi utilizzare gli SDK per firmare le richieste a livello di crittografia, gestire gli errori e rieseguire automaticamente le richieste. Per ulteriori informazioni, consulta la pagina Strumenti per Amazon Web Services.

Controllo dell'accesso a AWS Config

AWS Identity and Access Management è un servizio Web che consente ai clienti Amazon Web Services (AWS) di gestire utenti e autorizzazioni utente. Utilizza IAM per creare singoli utenti per chiunque abbia necessità di accedere a AWS Config. Crea un utente IAM per te stesso, assegna a questo utente IAM i privilegi amministrativi e usa tale utente IAM per tutte le operazioni. Creando singoli utenti IAM per le persone che accedono al tuo account, puoi assegnare a ogni utente IAM un set univoco di credenziali di sicurezza. Puoi anche concedere autorizzazioni diverse a ciascun utente IAM. Se necessario, puoi modificare o revocare le autorizzazioni di un utente IAM in qualsiasi momento. Per ulteriori informazioni, consulta la pagina AWS Identity and Access Management .

Soluzioni dei partner

AWS si avvale di esperti di processi di registrazione e analisi di terze parti per fornire soluzioni che utilizzano l'output di AWS Config. Per ulteriori informazioni, consulta la paginaAWS ConfigPagina dettagli all'indirizzoAWS Config.