Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concetti
AWS Config fornisce una visualizzazione dettagliata delle risorse associate al tuo AWS account, incluso il modo in cui sono configurate, come sono correlate tra loro e come le configurazioni e le loro relazioni sono cambiate nel tempo. Analizziamo più approfonditamente i concetti di AWS Config.
Indice
Gestione delle risorse
La comprensione dei componenti di base di ti AWS Config aiuterà a tenere traccia dell'inventario e delle modifiche delle risorse e a valutare le configurazioni delle tue AWS risorse.
AWS Risorse
AWS le risorse sono entità che crei e gestisci utilizzando AWS Command Line Interface (CLI), gli AWS SDK o AWS gli strumenti dei partner. AWS Management Console Esempi di AWS risorse includono istanze Amazon EC2, gruppi di sicurezza, Amazon VPC e Amazon Elastic Block Store. AWS Config si riferisce a ciascuna risorsa utilizzando il suo identificatore univoco, come l'ID della risorsa o un Amazon Resource Name (ARN). Per informazioni dettagliate, vedi Tipi di risorsa supportati.
Elementi della configurazione
Un elemento di configurazione rappresenta una point-in-time visualizzazione dei vari attributi di una AWS risorsa supportata presente nel tuo account. I componenti di un elemento di configurazione includono metadati, attributi, relazioni, configurazione corrente ed eventi correlati. AWS Config crea un elemento di configurazione ogni volta che rileva una modifica a un tipo di risorsa che sta registrando. Ad esempio, se AWS Config sta registrando bucket Amazon S3, AWS Config crea un elemento di configurazione ogni volta che un bucket viene creato, aggiornato o eliminato. Puoi anche scegliere di creare un elemento AWS Config di configurazione alla frequenza di registrazione che hai impostato.
Per ulteriori informazioni, consulta Components of a Configuration Item e Scegli quali risorse devono essere registrate | Frequenza di registrazione
Registratore della configurazione
Il registratore della configurazione memorizza le configurazioni delle risorse supportate nel tuo account come elementi di configurazione. Prima di poter avviare la registrazione, devi creare e quindi avviare la registrazione della configurazione. Puoi arrestare e riavviare la registrazione della configurazione in qualsiasi momento. Per ulteriori informazioni, consulta Gestione del registratore della configurazione.
Per impostazione predefinita, il registratore di configurazione registra tutte le risorse supportate nella regione in cui AWS Config è in esecuzione. Puoi creare un registratore della configurazione personalizzato che registra solo i tipi di risorse specificati dall'utente. Per ulteriori informazioni, consulta Selezione delle risorse da AWS Config registrare.
Se utilizzi AWS Management Console o la CLI per attivare il servizio, crea e avvia AWS Config automaticamente un registratore di configurazione per te.
Storico della configurazione
Una cronologia della configurazione è una raccolta di elementi della configurazione per una data risorsa durante un qualsiasi periodo di tempo. Una cronologia della configurazione può aiutarti a rispondere a domande relative, ad esempio, a quando la risorsa è stata creata per la prima volta, al modo in cui la risorsa è stata configurata durante l'ultimo mese e alle modifiche della configurazione che sono state apportate ieri alle 9 di mattina. La cronologia delle configurazioni è disponibile in diversi formati. AWS Config fornisce automaticamente un file di cronologia della configurazione per ogni tipo di risorsa che viene registrato in un bucket Amazon S3 specificato. Puoi selezionare una determinata risorsa nella AWS Config console e passare a tutti gli elementi di configurazione precedenti per quella risorsa utilizzando la sequenza temporale. Inoltre, puoi accedere allo storico degli elementi della configurazione di una risorsa tramite l'API.
Per ulteriori informazioni, vedere Visualizzazione AWS delle configurazioni e della cronologia delle risorse e Gestione AWS delle configurazioni e della cronologia delle risorse.
Snapshot della configurazione
Uno snapshot della configurazione è una raccolta degli elementi della configurazione per tutte le risorse supportate presenti nel tuo account. Questo snapshot della configurazione fornisce un quadro completo delle risorse che vengono registrate e delle loro configurazioni. Lo snapshot della configurazione può essere uno strumento utile per convalidare la configurazione. Ad esempio, puoi esaminare regolarmente lo snapshot della configurazione alla ricerca di risorse che siano state configurate non correttamente o che, potenzialmente, non dovrebbero esistere. Lo snapshot della configurazione è disponibile in più formati. Puoi distribuire lo snapshot della configurazione su un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. Inoltre, è possibile selezionare un momento nella AWS Config console e navigare nell'istantanea degli elementi di configurazione utilizzando le relazioni tra le risorse.
Flusso di configurazione
Un flusso di configurazione è un elenco aggiornato automaticamente di tutti gli elementi di configurazione per le risorse in fase AWS Config di registrazione. Ogni volta che una risorsa viene creato, modificata o eliminata, AWS Config crea un elemento della configurazione e lo aggiunge al flusso di configurazione. Il flusso di configurazione funziona utilizzando un argomento Amazon Simple Notification Service (Amazon SNS) di tua scelta. Il flusso di configurazione è utile per osservare le modifiche alla configurazione man mano che si verificano in modo da individuare potenziali problemi, generare notifiche se determinate risorse vengono modificate o aggiornare sistemi esterni che devono riflettere la configurazione delle AWS risorse.
Relazioni tra le risorse
AWS Config rileva AWS le risorse nell'account e quindi crea una mappa delle relazioni tra AWS le risorse. Ad esempio, una relazione potrebbe includere un volume vol-123ab45d Amazon EBS collegato a un'istanza i-a1b2c3d4 Amazon EC2 associata al gruppo di sicurezza sg-ef678hk.
Per ulteriori informazioni, consulta Tipi di risorsa supportati.
AWS Config Regole
Una AWS Config regola rappresenta le impostazioni di configurazione desiderate per AWS risorse specifiche o per un intero AWS account. Se una risorsa non supera un controllo delle regole, AWS Config contrassegna la risorsa e la regola come non conformi e ti AWS Config avvisa tramite Amazon SNS. Di seguito sono riportati i possibili risultati di valutazione per una regola: AWS Config
-
COMPLIANT: la regola supera le condizioni del controllo di conformità. -
NON_COMPLIANT: la regola non rispetta le condizioni del controllo di conformità. -
ERROR: uno dei parametri richiesti/facoltativi non è valido, non è del tipo corretto o è formattato in modo errato. -
NOT_APPLICABLE: utilizzato per filtrare le risorse a cui non può essere applicata la logica della regola. Ad esempio, la alb-desync-mode-checkregola controlla solo gli Application Load Balancer e ignora i Network Load Balancer e i Gateway Load Balancer.
Esistono due tipi di regole: regole gestite e regole personalizzate. AWS Config AWS Config Per ulteriori informazioni sulla struttura delle definizioni delle regole e dei metadati delle regole, consulta Componenti di una AWS Config regola.
AWS Config Regole gestite
AWS Config Le regole gestite sono regole predefinite e personalizzabili create da AWS Config. Per un elenco delle regole gestite, vedere Elenco delle regole AWS Config gestite.
AWS Config Regole personalizzate
AWS Config Le regole personalizzate sono regole che puoi creare da zero. Esistono due modi per creare regole AWS Config personalizzate: con le funzioni Lambda (AWS Lambda Developer Guide) e con Guard (Guard GitHub Repository
Per una procedura dettagliata che mostra come creare regole di policy AWS Config personalizzate, vedi Creazione di regole di policy AWS Config personalizzate. Per una procedura dettagliata che mostra come creare regole AWS Config Lambda personalizzate, vedi Creazione di regole Lambda personalizzate AWS Config.
Tipi di trigger
Dopo aver aggiunto una regola al tuo account, AWS Config confronta le tue risorse con le condizioni della regola. Dopo questa valutazione iniziale, AWS Config continua a eseguire le valutazioni ogni volta che ne viene attivata una. Gli eventi scatenanti della valutazione sono definiti come parte della regola e possono includere le seguenti tipologie:
- Modifiche di configurazione
-
AWS Config esegue le valutazioni della regola quando esiste una risorsa che corrisponde all'ambito della regola e c'è una modifica nella configurazione della risorsa. La valutazione viene eseguita dopo l' AWS Config invio di una notifica di modifica dell'elemento di configurazione.
Puoi scegliere le risorse che avviano la valutazione definendo l'ambito della regola. L'ambito può includere quanto segue:
-
Uno o più tipi di risorse
-
Una combinazione di un tipo di risorsa e un ID risorsa
-
Una combinazione di una chiave e un valore di un tag
-
Quando viene creata, aggiornata o eliminata qualsiasi risorsa registrata
AWS Config esegue la valutazione quando rileva una modifica a una risorsa che corrisponde all'ambito della regola. Puoi utilizzare l'ambito per definire le risorse che avviano le valutazioni.
-
- Periodic (Periodico)
-
AWS Config esegue le valutazioni della regola con una frequenza scelta dall'utente, ad esempio ogni 24 ore.
- Ibrido
-
Alcune regole prevedono sia trigger legati alle modifiche alla configurazione che trigger periodici. Per queste regole, AWS Config valuta le risorse quando rileva una modifica della configurazione e anche alla frequenza specificata dall'utente.
Modalità di valutazione
Esistono due modalità di valutazione delle regole: AWS Config
- Proattiva
-
Utilizza la valutazione proattiva per valutare le risorse prima che vengano implementate. Ciò consente di valutare se un insieme di proprietà della risorsa, se utilizzato per definire una AWS risorsa, sarebbe CONFORME o NON CONFORME, in base all'insieme di regole proattive che hai nel tuo account nella tua regione.
Per ulteriori informazioni, consulta Modalità di valutazione. Per un elenco di regole gestite che supportano la valutazione proattiva, vedi Elenco delle regole gestite per modalità di valutazione. AWS Config
Nota
Le regole proattive non correggono le risorse contrassegnate come NON_COMPLIANT e non ne impediscono l'implementazione.
- Test
-
Utilizza la valutazione di test per valutare le risorse che sono già state implementate. Ciò consente di valutare le impostazioni di configurazione delle risorse esistenti.
Pacchetti di conformità
Un pacchetto di conformità è una raccolta di AWS Config regole e azioni correttive che possono essere facilmente implementate come singola entità in un account e in una regione o all'interno di un'organizzazione in. AWS Organizations
I pacchetti di conformità vengono creati con un modello YAML contenente l'elenco delle regole AWS Config gestite o personalizzate e le operazioni di correzione. Puoi distribuire il modello utilizzando la console AWS Config o l' AWS CLI.
Per iniziare rapidamente e valutare il tuo AWS ambiente, utilizza uno dei modelli di conformance pack di esempio. Puoi anche creare un file YAML del pacchetto di conformità da zero basandoti su quanto riportato in Pacchetto di conformità personalizzato. Un pacchetto di conformità personalizzato è una raccolta unica di AWS Config regole e azioni correttive che puoi implementare insieme in un account e in una AWS regione o all'interno di un'organizzazione in. AWS Organizations
I controlli di processo sono un tipo di AWS Config regola che consente di tenere traccia delle attività esterne e interne che richiedono la verifica nell'ambito dei pacchetti di conformità. Questi controlli possono essere aggiunti a un pacchetto di conformità esistente o a uno nuovo. È possibile tenere traccia di tutta la conformità, inclusi la AWS Config durata e i controlli manuali, in un'unica posizione.
Aggregazione di dati multi-regione multi-account
L'aggregazione dei dati su più account e più regioni AWS Config consente di aggregare i dati di AWS Config configurazione e conformità di più account e regioni in un unico account. L'aggregazione dei dati su più account e più regioni è utile per gli amministratori IT centrali per monitorare la conformità di più account aziendali. AWS
Account di origine
Un account di origine è l' AWS account da cui si desidera aggregare i dati di configurazione e conformità AWS Config delle risorse. Un account di origine può essere un account singolo o un'organizzazione in AWS Organizations. Puoi fornire gli account di origine singolarmente o recuperarli tramite. AWS Organizations
Regione di origine
Una regione di origine è la AWS regione da cui si desidera aggregare i dati di AWS Config configurazione e conformità.
Aggregatore
Un aggregatore è un nuovo tipo di risorsa AWS Config che raccoglie dati di AWS Config configurazione e conformità da più account e regioni di origine. Crea un aggregatore nella regione in cui desideri visualizzare i dati aggregati di AWS Config configurazione e conformità.
Nota
Gli aggregatori forniscono una visualizzazione in sola lettura degli account e delle regioni di origine che l'aggregatore è autorizzato a visualizzare replicando i dati dagli account di origine nell'account di aggregazione. Gli aggregatori non forniscono un accesso mutante a un account o a una regione di origine. Ad esempio, ciò significa che non è possibile distribuire regole tramite un aggregatore o inviare file di istantanee a un account o a una regione di origine tramite un aggregatore.
L'utilizzo degli aggregatori non comporta costi aggiuntivi.
Account aggregatore
Un account aggregatore è un account all'interno del quale crei un aggregatore.
Autorizzazione
In qualità di proprietario dell'account di origine, l'autorizzazione si riferisce alle autorizzazioni concesse a un account e a una regione di aggregazione per raccogliere i dati AWS Config di configurazione e conformità. L'autorizzazione non è obbligatoria se stai aggregando account di origine che fanno parte di AWS Organizations.
Per ulteriori informazioni, consulta la sezione Multi-Account Multi-Region Data Aggregation.
Usando AWS Config
AWS Config Console
È possibile gestire il servizio utilizzando la AWS Config console. La console fornisce un'interfaccia utente per eseguire molte AWS Config attività come:
-
Specificare i tipi di AWS risorse per la registrazione.
-
Configurazione delle risorse da registrare, incluse:
-
Selezione di un bucket Amazon S3.
-
Creazione di un argomento Amazon SNS.
-
Creazione di un AWS Config ruolo.
-
-
Creazione di regole gestite e regole personalizzate che rappresentano le impostazioni di configurazione desiderate per AWS risorse specifiche o per un intero AWS account.
-
Creazione e gestione di aggregatori di configurazione per aggregare i dati tra molteplici account e regioni.
-
Visualizzazione di uno snapshot della configurazione attuale delle risorse supportate.
-
Visualizzazione delle relazioni tra AWS le risorse.
Per ulteriori informazioni su AWS Management Console, vedere AWS Management Console.
AWS Config CLI
AWS Command Line Interface È uno strumento unificato con cui puoi interagire AWS Config dalla riga di comando. Per ulteriori informazioni, consulta la AWS Command Line Interface Guida per l'utente. Per un elenco completo dei comandi AWS Config CLI, consulta Comandi disponibili.
AWS Config API
Oltre alla console e alla CLI, puoi anche utilizzare le API AWS Config RESTful per programmare direttamente. AWS Config Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS Config.
AWS SDK
In alternativa all'utilizzo dell' AWS Config API, puoi utilizzare uno degli AWS SDK. Ogni SDK include librerie e codice di esempio per piattaforme e linguaggi di programmazione diversi. Gli SDK rappresentano un sistema molto comodo per creare un accesso programmatico a AWS Config. Ad esempio, puoi utilizzare gli SDK per firmare le richieste a livello di crittografia, gestire gli errori e rieseguire automaticamente le richieste. Per ulteriori informazioni, consulta la pagina Strumenti per Amazon Web Services
Controlla l'accesso a AWS Config
AWS Identity and Access Management è un servizio Web che consente ai clienti di Amazon Web Services (AWS) di gestire gli utenti e le autorizzazioni degli utenti.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Soluzioni dei partner
AWS collabora con specialisti di terze parti in materia di registrazione e analisi per fornire soluzioni che utilizzano l' AWS Config output. Per ulteriori informazioni, visita la pagina dei AWS Config dettagli all'indirizzo AWS Config
